配置如下:
一般我們配置的時候,都是會先建立DHCP服務器啊,開啓這個DHCP服務:service dhcp ,就OK 了。下面就是根據要求建立各個不同的DHCP POOL 。並且設置好IP地址的分配範圍,網關,DNS服務器,租賃時間這些經常使用的配置信息。然後下面服務器建設好了,就是爲這個服務器的安全着想了,開啓這個安全特性,在全局配置模式下利用命令:ip dhcp snooping vlan [id] ,意思是說在某個特性的vlan 或者某些vlan中使用這個特性,在這個特性中,牽涉到倆個概念:信任端口和非信任端口。使用了這個特性後,我們就可以設置這些端口上的接收DHCP包的速率,默認的情況下是不做任何限制的。對於非信任接口,我們建議的速度上限爲100,而對信任接口,我們想盡量的增加點。如果超速了,就會被認爲是***了,那怎麼辦呢?端口就會進入到errdiable狀態,這樣的話就可以防止DOS***了。這個時候呢,因爲牽涉到了端口在發現這種類似的***的時候,採取了進入errdisable狀態,所以呢,我們得設定一下:在什麼情況下,可以讓端口從errdisable狀態下恢復到轉發狀態。一般有兩種方式:手動的和自動的。手動的就是shutdown和 no shutdown 。這樣的就OK 了。自動的就是設置那個超時的時間:全局模式下-----errdisable recovery interval [value] 。這裏牽涉到的這個errdisable ,以後還會詳細的進行敘述,也算是一種對網絡的保護手段,就是當觸犯了什麼條件的時候,端口就會進入到這個狀態,當然了,我們還得讓這個端口回到正常的狀態,這樣一來還得實施恢復狀態的命令。
啓用這個errdisable 的檢測:errdisable detec cause [具體的導致原因,也可以全部啓用]
對於這個功能的啓用,有的特性是默認使用這種對端口的處理方式的。
啓用這個errdisable 的恢復機制:errdisable recovery cause [具體的導致原因]
或者errdisable recovery interval [value]
或者 手動搞定!!!
對於上面我們講述的這個特性,有些應用對故障的處理方式就是默認的這種,而有的卻不是,但是我們可以進行設置,利用命令:errdisable detection cause _____ 。當然了,這樣一來,我們就得設備這種故障的恢復手段了,自動也行,手動也罷。
昨晚,重新看了下DHCP Snooping特性和DAI。有了更加清晰的認識。
對於啓用snooping特性的設備、VLAN來說,這些這個設備或者這個VLAN就會對經過的DHCP報文,進行偵聽。在這個特性中,我們說是可以把特定的端口設置爲信任的口或者非信任的端口。對於信任的端口,無論是那種類型的DHCP報文,都會讓他通過。如果是在一個非信任端口上接收到DHCP報文的話,交換機就會對目的MAC地址和DHCP客戶端的地址進行比較,如果符合規則就OK ,否則就丟棄掉。這個包如果是DHCP請求包的話,那目的MAC是廣播的,肯定會允許的了。如果是非DHCP請求包的話,那就算是屬於DHCP迴應包的範疇了,如果這樣一來的話,那這個報文的目的MAC地址肯定就必須得是DHCP服務器的MAC地址了。這個時候,交換機就會檢查這個數據報的目的MAC地址和DHCP客戶端的地址(說的也就是查看DHCP 綁定表中的客戶端的地址),如果對的話,那就說明是合法的DHCP服務器,如果不對的話,那就是非法的DHCP服務器咯。並且,我們在設計的時候,除了連接DHCP服務器的端口設置爲信任口,其他的口都設置爲非信任口的,並且非信任口是丟棄、不轉發dhcp offer報文的。所以呢,這個非信任口下的設備開啓了DHCP服務,想做個冒牌的DHCP服務器,也是成功不了的啊~~~因爲即使你開啓了這個DHCP服務,你可以接收到那些DHCP請求包了,但是第一個回合的DHCP OFFER就從這個端口中發不出去。這樣的話,這個通過DHCP獲取IP地址就是不完整的,就獲得不了IP 了,這個冒牌的DHCP服務器就不OK了。同時,我們設置了倆種不同類型的端口,其中每種類型的端口都可以進行速度的限制。