試驗拓撲

?

環境：dhcp server和dhcp客戶端屬于同vlan，但是客戶端屬于不同的交換機，在L2和L3交換機開啟dhcp snooping后得出如下結論

?L3交換機的配置

ip dhcp pool vlan27network 172.28.27.0 255.255.255.0default-router 172.28.27.254 dns-server 172.28.28.15 ! ! ip dhcp snooping vlan 27
ip dhcp snooping information option allow-untrusted //必須加此命令，因為L3交換機也開啟了dhcp snooping，具體解釋如下
ip dhcp snooping

interface GigabitEthernet0/0
switchport trunk encapsulation dot1q
switchport mode trunk
media-type rj45
speed 1000
duplex full
no negotiation auto
ip dhcp snooping limit rate 720?

?

L2交換機配置

ip dhcp snooping vlan 27 ip dhcp snooping ! interface GigabitEthernet0/0switchport trunk encapsulation dot1qswitchport mode trunkmedia-type rj45speed 1000duplex fullno negotiation auto ip dhcp snooping trust

?

說明：

　1、從L2交換機過來的DHCP請求報文是已經被插入了選項82信息，如果將L3的Gi0/0設置為信任端口，那么插入了82選項的DHCP請求報文是允許通過的，但不會為其建立DHCP監聽綁定表。即L3上只有win10的綁定條目，而沒

　　 有win11的綁定條目。如果此時同時部署DAI，IPSG，由于L2交換機不支持這兩項功能，對于L3交換機來說，從L2交換機上過來的數據可能存在IP欺騙和ARP欺騙等攻擊，是不安全的。另一方面，由于L3交換機沒有PC2的綁定

　　條目，而DAI和IPSG必須依賴DHCP監聽綁定表。因此如果需要在L3交換機上再部署DAI或者IPSG，就不能將L3交換機的Gi0/0設置為信任端口。但是將Gi0/0口設置為非信任端口以后，默認情況下，非信任端口將會丟棄收到的插

　　入了82選項的DHCP請求報文。而從L2交換機過來的DHCP請求報文又正好是被插入了選項82信息的。因此必須配置ip dhcp snooping information option allow-untrusted（全局）命令，否則L3交換機將丟棄這些DHCP請求

　　報文，接在L2交換機上的win11將得不到IP地址。只有配置了該命令以后，L3交換機才會接收從L2交換機發送的插入了選項82的DHCP報文，并為這些信息建立綁定條目。

　　當然上面如果遇到交換機不支持ip dhcp snooping information option allow-untrusted命令可以有以下兩種解決辦法：

　　　?、僭诓恢С值慕粨Q機的int vlan 內使用?ip dhcp relay information trusted（vlan內） 命令

　　　?、谠诮尤雽咏粨Q機上面關閉插入option82的功能?no ip dhcp snooping information option

　2、由于思科交換機在開啟dhcp snooping后默認會打開?ip dhcp snooping limit rate 15 ?功能，上述試驗里面 L2交換機如果接滿了客戶端，但是L3連接L2的接口是非信任接口就存在limit rate 15的功能，同理L2的每個非信任接口

　　 ?都是如此，想象一種場景，某時刻48個客戶端?同時發起dhcp request請求報文，由于L3的下行口默認是限速15個包，這樣將導致大部分客戶端的dhcp request報文被丟棄，所以為了避免此情況應該在L3的下行接口適當調整

　　limit rate速度，計算如下：

　　　　　　假設2960為48口，因此簡單的設置限速為48*15=720?

注意：只有當啟用了dhcp snooping的匯聚交換機或者核心才需要設置??ip dhcp snooping limit rate。如果一個核心或者匯聚交換機下面的接入層交換機眾多，那么這個限速設置就需要注意了，因為端口最大的limit rate是2048，所以

　　　需要調整接入層端口的limit rate，使其變小? 但是需要調整為一個合理的數值，因為太小了會導致IP地址獲取慢

?

延伸：

? ? 當不開啟L3交換機的ip dhcp snooping information option allow-untrusted時，在L3上面使用debug抓ip dhcp snoong信息會看到不斷有來自L2的報文被丟棄，因為報文攜帶giaddr字段并且是非法的

?

L3#debug ip dhcp snooping event DHCP Snooping Event debugging is on *May 25 11:05:44.102: %DHCP_SNOOPING-5-DHCP_SNOOPING_NONZERO_GIADDR: DHCP_SNOOPING drop message with non-zero giaddr or option82 value on untrusted port, message type: DHCPDISCOVER, MAC sa: 5000.000b.0000

?

?

?

?

　

轉載于:https://www.cnblogs.com/sun292393989/p/9090279.html

總結

以上是生活随笔為你收集整理的（五）Cisco dhcp snooping实例3-多交换机环境（DHCP服务器和DHCP客户端位于同VLAN）...的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。