Nortel ERS2500/4500/5600安裝調試
目錄
Nortel ERS2500/4500/5600系列交換機的軟件和維護界面一致的。
在獲得一臺新的ERS系列設備後,你可以通過使用專用的連接線把電腦和交換機的CONSOLE口連接起來。
採用RJ45到DB9的Console線的線序如下:
|
RJ45側
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
|
|
白
|
棕
|
黃
|
綠
|
紅
|
黑
|
橙
|
藍
|
|
DB9側
|
N/A
|
N/A
|
3
|
5
|
N/A
|
2
|
N/A
|
N/A
|
在PC上
開始——》程序——》附件——》通訊——》超級終端
選擇PC上面對應的串口,將參數調整成以下數據:
點擊確定;
接着按Ctrl+Y,將看到以下交換機的主配置菜單;
以上是NORTEL ERS交換機的配置主菜單(本例採用ERS5698交換機)
我們可以進入System Characteristics更改設備的名稱
通過鍵盤的方向鍵,選擇到sysName,按回車鍵,在Enter String:下敲下你想要的更改的系統名稱,回車鍵進行確認。本例中設置系統名稱爲:SW TEST。
test(config)#snmp-server name britel //也可以使用這個修改主機名
按Ctrl+C 鍵返回到交換機的主菜單
選擇交換機的主菜單的Command Line Interface...項進入交換機的命令行配置模式。
ERS有四種模式:用戶模式,特權模式,全局模式,接口模式
|
當前模式
|
CLI提示
|
進入下一模式命令
|
關閉當前模式命令
|
|
用戶模式
|
4548GT-PWR>
|
用enable命令進入特權模式
|
用下面任意一個命令關閉會話
• exit
• logout
|
|
特權模式
|
4548GT-PWR#
|
用config t進入全局模式
|
用exit命令關閉模式,進入用戶模式
用Logout命令關閉CLI會話
|
|
全局模式
|
4548GT-PWR(config)#
|
用int f all命令進入接口模式
|
用exit命令關閉模式,進入特權模式
用Logout命令關閉CLI會話
|
|
接口模式
|
4548GT-PWR(config-if)#
|
This is the to
level.
|
用exit命令進入全局模式;用end命令進入特權模式;logout關閉CLI會話
|
1. Telnet 服務的開啓或關閉
默認,交換機的telnet服務是開啓的
SW_TEST(config)#telnet-access enable //開啓telnet服務
SW_TEST(config)#telnet-access disable //關閉telnet服務
爲了以後的維護的方便或者在對設備進行比較大的改動時,都需要將設備的配置文件備份下來,以便快速的恢復設備到前一個配置狀態。
SW_TEST(config)#copy config tftp address 192.168.121.250 filename ers56.cfg
% Contacting TFTP host.
% Configuration file successfully written.
192.168.121.250是TFTP服務器的IP地址,ers56.cfg是保存到TFTP服務器下的配置文件的名稱。
當設備由於故障而導致配置文件不完整或完全丟失時,可以將備份的配置文件重新導入到交換機,使其配置服務正常。
SW_TEST#copy tftp config address 192.168.121.250 filename ers56.cfg
% Config file download successful.
% Performing reconfiguration
NOTE:當配置文件導入到交換機後,交換機將重新啓動,進行新配置文件的讀取。
ERS系列交換機的系統軟件主要由兩部分組成:xxx.img (系統操作軟件),xxx.bin(boot 系統軟件),在升級過程中,必須先升級xxx.bin,然後再升級xxx.img,不然可能會出現升級不成功的情況。
SW_TEST#download address 192.168.121.250 diag ers56.bin //升級boot系統
升級系統軟件大概要花費5-10分鐘的時間(包括一次重啓)
SW_TEST#download address 192.168.121.250 p_w_picpath er56.img //升級系統操作軟件
升級系統軟件大概要花費5-10分鐘的時間(包括一次重啓)
192.168.121.250是TFTP服務器IP地址,ers56.img和ers56.bin是TFTP服務器裏面的文件名稱
由於ERS系列的AUTOSAVE功能至今依然還存在BUG,所以在配置ERS系列設備的時候將這個功能要手動的關閉,默認這個功能是開啓的
SW_TEST(config)#no autosave enable
查看信息:
SW_TEST(config)#show autosave
Auto Save: Enabled
在關閉了AUTOSAVE 功能後,在交換機裏面進行任何的配置改變都要手動保存配置文件,操作命令如下:
SW_TEST#copy config nvram
SW_TEST#save config
在設備關閉的時候,建議使用一下軟件shutdown步驟。
1.SHUTDOWN交換機;SW_TEST#shutdown
2.關閉電源
建立本地的密碼庫,只有兩個級別只讀和讀寫
SW_TEST(config)#cli password read-write rwa
SW_TEST(config)#cli password read-only ro
要求Telnet和串口接入交換機需要通過本地驗證
SW_TEST(config)#cli password serial local
SW_TEST(config)#cli password telnet local
查看信息:
SW_TEST(config)#show cli password
Switch
Access Login Password
------ --------- ------------------
RW RW secure
RO RO user
Stack
Access Login Password
------ --------- ------------------
RW RW secure
RO RO user
首先進入接口模式
SW_TEST(config)#interface fastEthernet 2
SW_TEST(config-if)#speed 1000 //修改接口的速率到1000 ,默認是AUTO模式,所以這個屬性一般是不用修改的
SW_TEST(config-if)#duplex full //修改接口的雙工模式到FULL
查看信息:
SW_TEST(config)#show interfaces
Status Auto Flow
Port Trunk Admin Oper Link LinkTrap Negotiation Speed Duplex Control
---- ----- ------- ---- ---- -------- ----------- -------- ------ -------
1 Enable Down Down Enabled Enabled
2 Enable Down Down Enabled Enabled
3 Enable Down Down Enabled Enabled
4 Enable Down Down Enabled Enabled
5 Enable Down Down Enabled Enabled
6 Enable Down Down Enabled Enabled
7 Enable Down Down Enabled Enabled
8 Enable Down Down Enabled Enabled
9 Enable Down Down Enabled Enabled
10 Enable Down Down Enabled Enabled
2、VLAN 基本的配置
VLAN CONTROL介紹
1) Strict-在這個模式下,如果Port沒有打標的話,每個端口只能屬於一個VLAN;如果把一個端口移到另一個端口上的話,必須把這個端口先從VLAN中移除,才能把這個端口加到新的VLAN中。這個模式是交換機默認的。
2)Automatic-在這個模式下,如果把一個端口加到一個新的VLAN中,它會自動的把這個端口從以前的VLAN中移除,然後加到新的VLAN;一個端口僅能在一個VLAN中。
3)AutoPVID-在這個模式下,每個不打標的端口可以屬於多個VLAN,但pvid會隨着加入的VLAN而改變。
4)Flexible-在這個模式下,每個不打標的端口可以屬於多個VLAN,pvid不會隨着加入的VLAN而改變。
VLAN Configuration Control這個模式只適用於access的端口,對於打標的端口沒有這個模式。
默認所有的2500,4500,5000系列交換機的接口都是二層ACCESS接口。
將端口變成TRUNK口,默認TRUNK口只屬於VLAN 1,如果要求這個TRUNK口可以通過多個VLAN,需要將端口加入到不同VLAN中去。
SW_TEST(config)#VLAN ports 2-10 tagging enable //將端口2-10變成TRUNK
當需要將TRUNK端口變成ACCESS類型的端口的時候,需要進行一下配置:
SW_TEST(config)#VLAN ports 2-10 tagging disable
當把接口從TRUNK變成ACCESS後,該接口將不屬於任何一個VLAN
查看信息:
SW_TEST(config)#show VLAN interface info
Filter Filter
Untagged Unregistered
Port Frames Frames PVID PRI Tagging Name
---- -------- ------------ ---- --- ------------- ----------------
1 No Yes 1 0 UntagAll Port 1
2 No Yes 1 0 UntagAll Port 2
3 No Yes 1 0 UntagAll Port 3
4 No Yes 1 0 UntagAll Port 4
5 No Yes 1 0 UntagAll Port 5
6 No Yes 1 0 UntagAll Port 6
7 No Yes 1 0 UntagAll Port 7
8 No Yes 1 0 UntagAll Port 8
9 No Yes 1 0 UntagAll Port 9
10 No Yes 1 0 UntagAll Port 10
默認,交換機的所有端口都屬於VLAN 1 .
SW_TEST(config)#VLAN create 200 name test type port //創建一個VLAN,VLAN號爲200,名字爲test, 類型基於端口。
如果你想要刪除一個VLAN,首先要將在該VLAN中的端口從VLAN中刪除掉,然後將VLAN進行刪除(推薦)
SW_TEST(config)#VLAN delete 200 //刪除VLAN 200
查看信息:
SW_TEST(config)#show VLAN
Id Name Type Protocol User PID Active IVL/SVL Mgmt
--- -------------------- -------- ---------------- -------- ------ ------- ----
1 VLAN #1 Port None 0x0000 Yes IVL Yes
Port Members: ALL
200 test Port None 0x0000 Yes IVL No
Port Members: NONE
2.3 將端口加入到相應的VLAN
將把一個ACCESS端口加入到相應的VLAN中的時候,首先要將該端口從已在的VLAN中剔除,然後在加入到想要加入的VLAN中。
SW_TEST(config)#VLAN members remove 1 61-72 //將端口61-72從VLAN 1 中剔除掉
WARNING: STP configuration may be lost on selected ports. You may need to recon
figure the ports manually.(5.3沒了)
SW_TEST(config)#VLAN members add 200 61-72 //將61-72加入到VLAN 200
查看信息:
SW_TEST(config)#show VLAN
Id Name Type Protocol User PID Active IVL/SVL Mgmt
--- -------------------- -------- ---------------- -------- ------ ------- ----
1 VLAN #1 Port None 0x0000 Yes IVL Yes
Port Members: 1-60,73-98
200 test Port None 0x0000 Yes IVL No
Port Members: 61-72
Total VLANs: 2
2.4 VLAN接口地址的配置
由於VLAN相當於一個獨立的子網,所以不同VLAN之間的通訊是需要三層的路由來支持的,所以一般需要每個VLAN都要配置一個用於當做該VLAN網關的,VLAN接口地址。
在配置這個接口地址的時候,我們需要將交換機的三層功能激活。
SW_TEST(config)#ip routing //開啓交換機的三層功能
在配置VLAN接口地址的時候,相應的VLAN 必須被配置,例如,我要配置VLAN 200 的接口地址,必須先要執行2.2將VLAN 200創建。
SW_TEST(config)#interface VLAN 200 //進入VLAN 200接口
SW_TEST(config-if)#ip address 10.10.10.1 255.255.255.0 //配置接口地址
SW_TEST(config-if)#ip routing //啓動接口的三層功能
當想要修改配置的IP地址時,需要先刪除先前的配置,如下:
SW_TEST(config)#interface VLAN 200
SW_TEST(config-if)#no ip address 10.10.10.1 255.255.255.0
如果想要關掉接口的三層功能需要如下操作:
SW_TEST(config-if)#no ip routing
查看信息:
SW_TEST(config)#show VLAN ip
==============================================================================
Vid ifIndex Address Mask MacAddress Offset Routing
==============================================================================
Primary Interfaces
------------------------------------------------------------------------------
1 10001 192.168.100.200 255.255.255.0 00:22:67:09:0C:80 1 Enabled
200 10200 10.10.10.1 255.255.255.0 00:22:67:09:0C:81 2 Enabled
------------------------------------------------------------------------------
% Total of Primary Interfaces: 2
2.5 Broute port (橋路由接口)配置:
int fa3/1
brouter port 3/1 vlan 78 subnet 172.16.200.1/24 routing enable // 5000
NOTE :
創建Brouter port時,VLAN不能夠是已經創建的
管理VLAN是指定設備本身作爲一臺機子需要的加入的VLAN,默認管理VLAN是VLAN 1,我們可以根據情況進行修改。
SW_TEST(config)#VLAN mgmt 100 //將管理VLAN改爲VLAN 100
在修改管理VLAN的時候,如果之前的管理VLAN已經配置了IP地址,必須要將IP地址刪掉。
SW_TEST(config)#ip address 192.168.121.254 255.255.255.0 //設置設備的本機地址
SW_TEST(config)#ip default-gateway 192.168.121.1 //設置設備的網關地址
設置了這個設備的本機地址,其實就是設置了相應管理VLAN的VLAN接口地址。
查看信息:
SW_TEST(config)#show ip
Configured In Use Last BootP/DHCP
--------------- --------------- --------------------
Stack IP Address: 0.0.0.0 0.0.0.0
Switch IP Address: 192.168.121.254 192.168.121.254 0.0.0.0
Subnet Mask: 255.255.255.0 255.255.255.0 0.0.0.0
Default Gateway: 192.168.121.1 192.168.121.1 0.0.0.0
北電的交換機默認啓動生成樹爲北電的生成樹組(STG),所有創建的VLAN端口默認都是在這個生成數組裏面。
生成樹是爲了解決多鏈路連接的時候,設備之間產生鏈路環路。生成樹的基本原理就是將環路中的一條鏈路斷掉,從而避免環路的產生。
在實際應用中,就是用默認值就可以了,唯一需要調整的就是生成樹優先級的設置。優先級影響那個設備成爲ROOT設備,一般將核心設備的優先級改高使其成爲ROOT設備就可以了。優先級時使用十六進制表示的,值越低優先級越高。
SW_TEST(config)#spanning-tree priority 5000 //設置生成樹的優先級爲0x5000
在配置交換機的接口作爲一個連接設備的ACCESS端口的時候,將這個接口的生成樹學習狀態變爲FAST(推薦)
SW_TEST(config)#interface fastEthernet 2-10
SW_TEST(config-if)#spanning-tree learning fast
SW_TEST (config-if)#spanning-tree bpdu-filtering timeout 0 //0表示FOREVER SHUTDOWN ,可以制定時間(10-65535S)
SW_TEST (config-if)#spanning-tree bpdu-filtering enable
SW_TEST (config-if)#exit
查看信息:
SW_TEST(config)#show spanning-tree config //生成樹的整體信息
Bridge Priority (hex): 8000
Designated Root: 8000002267090C01
Root Port: 0
Root Path Cost: 0
Hello Time: 2 seconds
Maximum Age Time: 20 seconds
Forward Delay: 15 seconds
Bridge Hello Time: 2 seconds
Bridge Maximum Age Time: 20 seconds
Bridge Forward Delay: 15 seconds
Tagged BPDU on tagged port: No
VID used for Tagged BPDU: 4001
STP Group State: Active
STP Multicast Address: 01-80-C2-00-00-00
SW_TEST(config)#show spanning-tree port //接口生成樹信息
Port Trunk Participation Priority Path Cost State
---- ----- --------------- -------- --------- ----------
1 Normal Learning 128 1 Forwarding
2 Normal Learning 128 1 Forwarding
3 Normal Learning 128 1 Forwarding
4 Normal Learning 128 1 Forwarding
5 Normal Learning 128 1 Forwarding
6 Normal Learning 128 1 Forwarding
7 Normal Learning 128 1 Forwarding
8 Normal Learning 128 1 Forwarding
9 Normal Learning 128 1 Forwarding
10 Normal Learning 128 1 Forwarding
端口聚合是隻將多個端口綁定成一個端口來使用,用以來增加端口的帶寬。
北電的端口技術叫做MLT(多鏈路中繼)
在進行端口聚合的端口時一定要注意,參與聚合的端口必須速率,介質,端口的VLAN都必須相同而且最大的聚合端口數量爲4個;最大的MLT的數量爲8個。
具體配置如下:
SW_TEST(config)#mlt 1 name test //給MLT 1 命名
SW_TEST(config)#mlt 1 member 2-3 //將2-3端口加入到MLT 1
SW_TEST(config)#mlt 1 enable //啓動MLT 1
MLT 完全繼承端口組的屬性。
查看信息:
SW_TEST(config)#show mlt
Id Name Members Bpdu Mode Status Type
-- ---------------- ---------------------- ------ -------------- ------- ------
1 Trunk #1 2-3 All Basic Enabled Access
2 Trunk #2 NONE All Basic Disabled
3 Trunk #3 NONE All Basic Disabled
4 Trunk #4 NONE All Basic Disabled
5 Trunk #5 NONE All Basic Disabled
6 Trunk #6 NONE All Basic Disabled
7 Trunk #7 NONE All Basic Disabled
8 Trunk #8 NONE All Basic Disabled
9 Trunk #9 NONE All Basic Disabled
10 Trunk #10 NONE All Basic Disabled
ERS2500和4500本質上都是二層設備不支持三層功能,但是在最新的版本的軟件5.3,在4500上面支持靜態路由。5000系列都是多層交換機。
SW_TEST(config)#ip route 172.168.10.0 255.255.255.0 172.168.100.1 1
//以上的表示爲;到目的172.168.10.0 這個網段通過的下一跳爲172.168.100.1
查看信息:
SW_TEST(config)#show ip route
==================================================================
Ip Route
==================================================================
DST MASK NEXT COST VLAN PORT PROT TYPE PRF
-------------------------------------------------------------------------------
0.0.0.0 0.0.0.0 172.16.173.8 10 1 15 S IB 5
172.16.173.0 255.255.255.0 172.16.173.86 1 1 ---- C DB 0
Total Routes: 2
-------------------------------------------------------------------------------
TYPE Legend:I=Indirect Route, D=Direct Route, A=Alternative Route, B=Best Route, U=Unresolved Route, N=Not in HW
PC再通過DHCP去獲取地址的時候,是通過廣播的方式去請求的,但是VLAN是用於阻隔廣播包的,如果將DHCP放在一個VLAN,其他的VLAN的PC就不可能從這個DHCP服務器拿到IP地址,除非每個VLAN都設置一個DHCP服務器,但是這個成本太高了,所以使用DHCP-RELAY這個技術來解決跨VLAN獲取地址。
SW_TEST(config)#ip dhcp-relay //全局開啓DHCP-RALAY功能
SW_TEST(config)#ip dhcp-relay fwd-path 192.168.121.254 192.168.131.3 mode dhcp
//建立DHCP中繼項,192.168.121.254是代理DHCP請求地址(一般爲VLAN 的接口地址),192.168.121.3是DHCP服務器的地址
SW_TEST(config)#interface VLAN 100 //一般是基於VLAN的DHCP-RELAY所以要在接口下,開啓DHCP-RALAY功能
SW_TEST(config-if)#ip dhcp-relay mode dhcp
OR
SW_TEST(config-if)#ip dhcp-relay
查看信息:
SW_TEST(config)#show ip dhcp-relay
DHCP relay is enabled
SW_TEST(config)#show ip dhcp-relay fwd-path
=============================================================
DHCP
=============================================================
INTERFACE SERVER ENABLE MODE
-------------------------------------------------------------
172.18.20.254 172.18.10.253 TRUE DHCP
172.18.30.254 172.18.10.253 TRUE DHCP
SW_TEST(config)#show VLAN dhcp-relay
IfIndex MIN_SEC ENABLED MODE ALWAYS_BROADCAST
----------------------------------------------------
10100 0 True Dhcp Disabled
10200 0 True Dhcp Disabled
10300 0 True Dhcp Disabled
10400 0 True Both Disabled
這裏只介紹北電獨有的MLT ,SMLT 和IST。這些是二層的冗餘協議:
MLT:多鏈路中繼,將多條鏈路模擬成一條鏈路
SMLT: 分離的多鏈路中繼,將在不同設備上得多條鏈路模擬成如MLT達到的效果,並且可以防止環路的產生,因爲這個技術使冗餘鏈路間實現負載均衡
IST:這個技術是配合SMLT來操作的,它是用來交換兩臺設備間的網絡數據的。
情景描述:
ERS5000A和ERS5000B啓用SMLT Base MLT 和 SMLT Base port 與接入交換機相連,
ERS5000A配置VLAN3999(用於IST),VLAN2 (用於客戶)
ERS5000A(config)#vlan create 3999 name ist type port
ERS5000A(config)#vlan create 2 name vlan2 type port
ERS5000A(config)#vlan ports 1,2,3,4,5 tagging tagAll filter-untaggedframe
enable
ERS5000A(config)#vlan members remove 1 1,2,3,4,5
ERS5000A(config)#vlan members 3999 1,2
ERS5000A(config)#vlan members 2 1,2,3,4,5
ERS5000B配置VLAN3999(用於IST),VLAN2 (用於客戶)
ERS5000B(config)#vlan create 3999 name ist type port
ERS5000B(config)#vlan create 2 name vlan2 type port
ERS5000B(config)#vlan ports 1,2,3,4,5 tagging tagAll filter-untaggedframe
enable
ERS5000B(config)#vlan members remove 1 1,2,3,4,5
ERS5000B(config)#vlan members 3999 1,2
ERS5000A(config)#vlan members 2 1,2,3,4,5
ERS5000A配置IST,SMLT base MLT
ERS5000A(config)# mlt 1 name ist enable member 1,2 learning disable
ERS5000A(config)#mlt 2 name 5530-1 enable member 3,4 learning disable
ERS5000B配置IST,SMLT base MLT
ERS5000B(config)# mlt 1 name ist enable member 1,2 learning disable
ERS5000A(config)#mlt 2 name 5530-1 enable member 3,4 learning disable
ERS5000A創建IST
ERS5000A(config)#ip routing
ERS5000A(config)#interface vlan 3999
ERS5000A(config-if)#ip address 1.1.1.1 255.255.255.252
ERS5000A(config-if)#exit
ERS5000A(config)#interface mlt 1
ERS5000A(config-if)#ist enable peer-ip 1.1.1.2 vlan 3999
ERS5000A(config-if)#exit
ERS5000B創建IST
ERS5000B(config)#ip routing
ERS5000B(config)#interface vlan 3999
ERS5000B(config-if)#ip address 1.1.1.2 255.255.255.252
ERS5000B(config-if)#exit
ERS5000B(config)#interface mlt 1
ERS5000B(config-if)#ist enable peer-ip 1.1.1.1 vlan 3999
ERS5000B(config-if)#exit
ERS5000A Create SMLT 20 Base MLT
ERS5000A(config)#interface mlt 2
ERS5000A(config-if)#smlt 2
ERS5000A(config-if)#exit
ERS5000B Create SMLT 20 Base MLT
ERS5000B(config)#interface mlt 2
ERS5000B(config-if)#smlt 2
ERS5000B(config-if)#exit
ERS5000A Create SMLT 30 Base port
ERS5000A(config)#interface FastEthernet ALL
ERS5000A(config-if)#smlt port 5 30
ERS5000A(config-if)#exit
ERS5000B Create SMLT 30 Base port
ERS5000B(config)#interface FastEthernet ALL
ERS5000B(config-if)#smlt port 11 30
ERS5000B(config-if)#exit
查看信息:
Show ist
Show smlt mlt <ID>
Show smlt fastethernet <ID>
VRRP(Virtual Router Redundancy Protocol,虛擬路由器冗餘協議)將可以承擔網關功能的一組路由器加入到備份組中,形成一臺虛擬路由器,由VRRP的選舉機制決定哪臺路由器承擔轉發任務,局域網內的主機只需將虛擬路由器配置爲缺省網關
情景如第十章的拓撲,客戶VLAN 2啓用VRRP功能,ERS5000A VLAN 2 的地址爲192.168.1.1,ERS5000B VLAN 2的地址爲192.168.1.2,VRRP 的VRIP爲192.168.1.3
ERS5000A的配置
ERS5000A(config)#interface vlan 2
ERS5000A(config-if)#ip address 192.168.1.1 255.255.255.0
ERS5000A(config-if)#exit
ERS5000A(config)#router vrrp enable
ERS5000A(config)#interface vlan 2
ERS5000A(config-if)#ip vrrp address 2 192.168.1.3
ERS5000A(config-if)#ip vrrp 2 backup-master enable
ERS5000A(config-if)#ip vrrp 2 holddown-timer 60
ERS5000A(config-if)#ip vrrp 2 priority 200
ERS5000A(config-if)#ip vrrp 2 enable
ERS5000A(config-if)#exit
ERS5000B的配置
ERS5000B(config)#interface vlan 2
ERS5000B(config-if)#ip address 192.168.1.2 255.255.255.0
ERS5000B(config-if)#exit
ERS5000B(config)#router vrrp enable
ERS5000B(config)#interface vlan 2
ERS5000B(config-if)#ip vrrp address 2 192.168.1.3
ERS5000B(config-if)#ip vrrp 2 backup-master enable
ERS5000B(config-if)#ip vrrp 2 holddown-timer 60
ERS5000B(config-if)#ip vrrp 2 priority 100
ERS5000B(config-if)#ip vrrp 2 enable
ERS5000B(config-if)#exit
查看信息:
show ip vrrp interface <VID> verbose vrid <VRID>
12.1 DHCP SNOOPING
DHCP SNOOPING 是爲了防止交換機的接入端口有用戶冒充DHCP SERVER對客戶機進行DHCP 的欺騙行爲。並且會在交換機建立相應的DHCP-SNOOPING TABLE (MAC –IP ,PORT ID ,LEASE )
DHCP SNOOPING 的角色:
TRUST PORT
UNTRUST PORT (默認)
角色的功能:
1. TRUST PORT 能夠通過任何DHCP的數據包
2. UNTRUST PORT 只能通過DHCP的請求包(requst)
假設交換機啓用DHCP SNOOPING,VLAN 1的所有端口都是UNTRUST,上聯端口1,作爲TRUST
5500(config)#ip dhcp-snooping vlan 1
5500(config)#ip dhcp-snooping enable
5500(config)#interface fastEthernet 15
5500(config-if)#ip dhcp-snooping trusteds
查看信息:
Show ip dhcp-snooping vlan //查看那些VLAN啓用
DHCP
VLAN Snooping
---- --------
1 Enabled
2 Disabled
Show ip dhcp-snooping binding //查看DHCP BINDING table
MAC IP Lease (sec) Time-to-Expiry VID Port
--------------------------------------------------------------------------
00-26-9e-99-f9-ae 172.16.173.103 691200 691304 1 21
Dynamic ARP Inspection這個功能是基於DHCP SNOOPING 來實現的,在UNTRUST端口,所有的包的源的MAC和IP地址必須在DHCP-SNOOPING BINDING TABLE下存在纔可以轉發。
同上假設,VLAN 1啓用動態的arp 檢查功能,fa 15作爲Trust
5500(config)#ip arp-inspection vlan 1
5500(config)#interface fastEthernet 15
5500(config-if)#ip arp-inspection trusted
顯示信息:
show ip arp-inspection vlan //查看啓用功能的VLAN
ARP
VLAN Inspection
---- ----------
1 Enabled
2 Disabled
IP Source Guard這個功能也是基於DHCP SNOOPING來實現的,在UNTRUST端口,所有進來的包都要檢查其源地址是否在DHCP-SNOOPING BINDING TABLE 存在,只有存在的纔可以轉發,不然就丟棄。
同上假設,在20端口啓用這個功能。(這個功能是基於端口來做的,且只能在交換機的UNTRUST 口啓用,)
5500(config)#interface fastEthernet 20
5500(config-if)#ip verify source
顯示信息:
show ip verify source interface fa 20 //查看那些端口啓用了該功能
Port Source Guard Mode
---- -----------------
20 IP
show ip verify source statistics //查看該端口的狀態
Port Filtered IP packets
---- -------------------
20 0