DHCP 服務(wù)器配置命令
手工綁定時,,將IP地址10.1.128.160 與用戶唯一標(biāo)識為 00-10-5a-60-af-12 的用戶綁定,。
Switch(dhcp-1-config)#client-identifier 00-10-5a-60-af-12
Switch(dhcp-1-config)#host 10.1.128.160 24
用戶唯一標(biāo)識為00-10-5a-60-af-12 的用戶設(shè)置用戶名為network。
Switch(dhcp-1-config)#client-name network
設(shè)置DHCP 客戶機的缺省網(wǎng)關(guān)為 10.1.128.2 和10.1.128.100,。
Switch(dhcp-1-config)#default-router 10.1.128.2 10.1.128.100
設(shè)置DHCP 客戶機的DNS 服務(wù)器的地址為 10.1.128.3,。
Switch(dhcp-1-config)#dns-server 10.1.128.3
指定DHCP 客戶機的域名為digitalchina.com.cn
Switch(dhcp-1-config)#domain-name digitalchina.com.cn
手工綁定時,將IP地址10.1.128.160與硬件地址為 00-00-e2-3a-26-04 的用戶綁定,。
Switch(dhcp-1-config)#hardware-address 00-00-e2-3a-26-04
Switch(dhcp-1-config)#host 10.1.128.160 24
關(guān)閉DHCP 服務(wù)器的日志功能,。
Switch(Config)#no ip dhcp conflict logging
將10.1.128.1 到10.1.128.10 之間的地址保留,不用于動態(tài)分配,。
Switch(Config)#ip dhcp excluded-address 10.1.128.1 10.1.128.10
定義一個地址池,,取名1。
Switch(Config)#ip dhcp pool 1
Switch(dhcp-1-config)#
修改發(fā)ping 包的個數(shù)為5 個,。
Switch(Config)#ip dhcp ping packets 5
修改超時時間為1 秒鐘,。
Switch(Config)#ip dhcp ping timeout 1000
打開DHCP 日志功能,日志主機為 192.168.1.101,,端口號為 45,。
Switch(Config)#loghost dhcp 192.168.1.101 45
DHCP 地址池1 的租期設(shè)置為3 天 12 個小時30 分鐘。
Switch(dhcp-1-config)#lease 3 12 30
地址池1 的客戶機的節(jié)點類型為廣播型,。
Switch(dhcp-1-config)#netbios-node-type b-node
b-node 為廣播型,;h-node 為先點對點后廣播的混合型;m-node 為先廣播后點對點的混合型,;p-node為點對點型
地址池1 的可分配的地址為 10.1.128.0/24,。
Switch(dhcp-1-config)#network-address 10.1.128.0 24
配置WWW 服務(wù)器的地址為10.1.128.240。
Switch(dhcp-1-config)#option 72 ip 10.1.128.240
打開DHCP 服務(wù)器,。
Switch(Config)#service dhcp
DHCP 配置舉例
為減輕網(wǎng)絡(luò)管理員和用戶的配置負(fù)擔(dān),,現(xiàn)有某公司將 DCRS-5526S 作為DHCP 服務(wù)器。其Admin VLAN的IP 地址為 10.16.1.2/24。其中公司局域網(wǎng)因為辦公地點分成了A 地,、B 地兩部分,,A 地、B 地的網(wǎng)絡(luò)配置如下表,。
PoolA(network 10.16.1.0) PoolB(network 10.16.2.0)
設(shè)備 Ip 地址 設(shè)備 Ip 地址
缺省網(wǎng)關(guān) 10.16.1.200 缺省網(wǎng)關(guān) 10.16.2.200
10.16.1.201 10.16.2.201
DNS 服務(wù)器 10.16.1.202 DNS 服務(wù)器 10.16.2.202
Wins 服務(wù)器 10.16.1.209 WWW 服務(wù)器 10.16.2.209
Wins 的節(jié)點類型 H-node
Lease 3 天 Lease 1 天
其中在A處,,因為工作的需要,特地將一臺 MAC 地址為00-03-22-23-dc-ab的機器分配固定的IP 地址10.16.1.210,,命名為management,。
Switch(Config)#interface vlan 1
Switch(Config-Vlan-1)#ip address 10.16.1.2 255.255.255.0
Switch(Config-Vlan-1)#exit
Switch(Config)#ip dhcp pool A
Switch(dhcp-A-config)#network 10.16.1.0 24
Switch(dhcp-A-config)#lease 3
Switch(dhcp-A-config)#default-route 10.16.1.200 10.16.1.201
Switch(dhcp-A-config)#dns-server 10.16.1.202
Switch(dhcp-A-config)#netbios-name-server 10.16.1.209
Switch(dhcp-A-config)#netbios-node-type H-node
Switch(dhcp-A-config)#exit
Switch(Config)#ip dhcp excluded-address 10.16.1.200 10.16.1.210
Switch(Config)#ip dhcp pool B
Switch(dhcp-B-config)#network 10.16.2.0 24
Switch(dhcp-B-config)#lease 1
Switch(dhcp-B-config)#default-route 10.16.2.200 10.16.2.201
Switch(dhcp-B-config)#dns-server 10.16.2.202
Switch(dhcp-B-config)#option 72 ip 10.16.2.209
Switch(dhcp-config)#exit
Switch(Config)#ip dhcp excluded-address 10.16.2.200 10.16.2.210
Switch(Config)#ip dhcp pool A1
Switch(dhcp-A1config)#host 10.16.1.210
Switch(dhcp-A1-config)#hardware-address 0003.2223.dcab
Switch(dhcp-A1-config)#client-name management
Switch(dhcp-A1-config)#exit
DHCP Snooping配置
啟動DHCP Snooping功能
Switch(Config)#ip dhcp snooping enable
啟動DHCP Snooping綁定功能
Switch(Config)#ip dhcp snooping binding enable
在交換機端口 Ethernet0/0/16 配置靜態(tài)綁定用戶
Switch(Config)#ip dhcp snooping binding user 00-03-0f-12-34-56 address 192.168.1.16 255.255.255.0 vlan 1 interface Ethernet0/0/16
啟動DHCP Snooping綁定 ARP 功能
Switch(Config)#ip dhcp snooping binding arp
在端口 ethernet1/1 啟動綁定 DOT1X 功能
Switch(Config)#interface ethernet 0/0/1
Switch(Config- Ethernet 0/0/1)# ip dhcp snooping binding dot1x
在端口 ethernet1/1 啟動綁定 USER功能
Switch(Config)#interface ethernet 0/0/1
Switch(Config- Ethernet 0/0/1)# ip dhcp snooping binding user-control
這個命令和 ip dhcp snooping binding dot1x 命令互斥
設(shè)置端口 ethernet0/0/1為 DHCP Snooping信任端口
Switch(Config)#interface ethernet 0/0/1
Switch(Config- Ethernet 0/0/1)#ip dhcp snooping trust
設(shè)置端口 ethernet0/0/1的 DHCP Snooping 防御動作為設(shè)置 blackhole,自動恢復(fù)時間為 30秒
Switch(Config)#interface ethernet 0/0/1
Switch(Config- Ethernet 0/0/1)#ip dhcp snooping action blackhole recovery 30
設(shè)置防御動作數(shù)目為 100
Switch(Config)#ip dhcp snooping action maxnum 100
設(shè)置交換機 DHCP 報文轉(zhuǎn)發(fā)速率為 200pps
Switch(Config)#ip dhcp snooping limit-rate 200
DHCP Snooping典型應(yīng)用舉例:
Mac-AA 設(shè)備為正常用戶,,連接在 DCN交換機非信任端口 0/0/1上,,其通過 DHCP
Client 活動 IP 1.1.1.5;DHCP Server 和 GateWay 連接在 DCN 交換機的信任端口0/0/11;0/0/12上,;惡意用戶 Mac-BB連接在非信任端口 0/0/10 上,,試圖偽裝 DHCP Server(發(fā)送 DHCPACK)。在交換機上設(shè)置 DHCP Snooping將能有效發(fā)現(xiàn)并阻止這種網(wǎng)絡(luò)攻擊
配置序列為:
Switch#config
Switch(Config)#ip dhcp snooping
Switch(Config)#interface ethernet 0/0/11
Switch(Config-Ethernet0/0/11)#ip dhcp snooping trust
Switch(Config-Ethernet0/0/11)#exit
Switch(Config)#interface ethernet 0/0/12
Switch(Config-Ethernet0/0/12)#ip dhcp snooping trust
Switch(Config-Ethernet0/0/12)#exit
Switch(Config)#interface ethernet 0/0/1-10
Switch(Config-Port-Range)#ip dhcp snooping action shutdown
Switch(Config-Port-Range)#
防 ARP 掃描功能命令
在交換機上啟動防 ARP 掃描功能
Switch(Config)#anti-arpscan enable
在交換機上配置基于端口的防 ARP 掃描速率閾值為 20個/秒
Switch(Config)#anti-arpscan port-based threshold 20
如果接收的 ARP 報文的速率超過此設(shè)定值,,則關(guān)閉此端口
在交換機上配置基于 IP 的防ARP 掃描速率閾值為 6個/秒
Switch(config)#anti-arpscan ip-based threshold 6
將交換機的端口 ethernet 0/0/5配置為信任端口
Switch(config)#interface ethernet0/0/5
Switch(Config-if-ethernet 0/0/5)#anti-arpscan trust port
將192.168.1.0/24 配置為信任 IP
Switch(config)#anti-arpscan trust ip 192.168.1.0 255.255.255.0
在交換機上啟動自動恢復(fù)功能
Switch(config)#anti-arpscan recovery enable
設(shè)置自動恢復(fù)時間為 3600 秒,。
Switch(config)#anti-arpscan recovery time 3600
在交換機上啟動防 ARP掃描的日志功能。
Switch(config)#anti-arpscan log enable
在交換機上啟動防 ARP掃描的 SNMP Trap 功能,。
Switch(config)#anti-arpscan trap enable
