问题描述
今天接到下面不同区域反馈终端能够通过DHCP获取到地址,由于所有终端均为手动设置的静态ip,怀疑下面有人将路由器一类的带DHCP功能的设备接入到网络中。
问题定位
核心上配了个相同的VLAN口接入笔记本发现能够自动获取到地址,登录获取到的地址网关,发现是一台tplink路由器。试了几个密码都进不去,通过arp -a查看路由器mac,再到交换机上根据mac表排查具体从哪个端口上来的,定位到区域,遂通报之。
杜绝问题再次发生
为防止问题再次出现,将所有交换机配置上DHCP snooping,并不设置trust端口。这样即使有人乱接设备DHCP报文也无法通过VLAN透传。贴一个配置案例
- 组网需求
Switch B通过以太网端口GigabitEthernet1/0/1连接到合法DHCP服务器,通过以太网端口GigabitEthernet1/0/3连接到非法DHCP服务器,通过GigabitEthernet1/0/2连接到DHCP客户端。要求:
· 与合法DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。
· 记录DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文中DHCP客户端IP地址及MAC地址的绑定信息。
- 组网图
图5-3 DHCP Snooping组网示意图
- 配置步骤
全局开启DHCP Snooping功能。
<SwitchB> system-view
[SwitchB] dhcp snooping enable
[SwitchB] dhcp enable
设置GigabitEthernet1/0/1端口为信任端口。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] dhcp snooping trust
[SwitchB-GigabitEthernet1/0/1] quit
在GigabitEthernet1/0/2上开启DHCP Snooping表项功能。
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] dhcp snooping binding record
[SwitchB-GigabitEthernet1/0/2] quit
- 验证配置
配置完成后,DHCP客户端只能从合法DHCP服务器获取IP地址和其它配置信息,非法DHCP服务器无法为DHCP客户端分配IP地址和其他配置信息。且使用display dhcp snooping binding可查询到获取到的DHCP Snooping表项。