一、选取DHCP服务的常见问题? 架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数
，简化了网络配置
，提高了治理效能。但在DHCP服务的治理上存在一些问题
，常见的有：
·DHCP Server的假意
·DHCP Server的DOS***
，如DHCP耗竭***
·某些用户轻易指定IP地址
，造成IP地址矛盾

1、DHCP Server的假意??? 由于DHCP服务器和客户端之间没有认证机造
，所以若是在网络上轻易增长一台DHCP服务器
，它就可以为客户端分配IP地址以及其他网络参数。只有让该DHCP服务器分配谬误的IP地址和其他网络参数
，那就会对网络造成极度大的风险。

2、DHCP Server的回绝服务***
通常DHCP服务器通过查抄客户端发送的DHCP要求报文中的CHADDR（也就是Client MAC address）字段来判断客户端的MAC地址。正常情况下该CHADDR字段和发送要求报文的客户端真实的MAC地址是一样的。***者能够利用伪造MAC的方式发送DHCP要求
，但这种***能够使用Cisco 互换机的端口安全个性来预防。端口安全个性（Port Security）能够限度每个端口只使用唯一的MAC地址。但是若是***者不批改DHCP要求报文的源MAC地址
，而是批改DHCP报文中的CHADDR字段来执行***
，那端口安全就不起作用了。由于DHCP服务器以为分歧的CHADDR值暗示要求来自分歧的客户端
，所以***者能够通过大量发送伪造CHADDR的DHCP要求
，导致DHCP服务器上的地址池被耗尽
，从而无法为其他正常用户提供网络地址
，这是一种DHCP耗竭***。DHCP耗竭***可所以纯正的DOS***
，也能够与伪造的DHCP服务器共同使用。倒佚常的DHCP服务器瘫痪时
，***者就能够成立伪造的DHCP服务器来为局域网中的客户端提供地址
，使它们将信息转发给筹备截取的恶意推算机。甚至即便DHCP要求报文的源MAC地址和CHADDR字段都是正确的
，但由于DHCP要求报文是广播报文
，若是大量发送的话也会耗尽网络带宽
，形成另一种回绝服务***。

3、客户端轻易指定IP地址??? 客户端并非肯定要使用DHCP服务
，它能够通过静态指定的方式来设置IP地址。若是轻易指定的话
，将会大大提高网络IP地址矛盾的可能性。

二、DHCP Snooping技术介绍
DHCP监听（DHCP Snooping）是一种DHCP安全个性。Cisco互换机支持在每个VLAN基础上启用DHCP监听个性。通过这种个性
，互换机可能拦截第二层VLAN域内的所有DHCP报文。

DHCP监听将互换机端口划分为两类：

·非信赖端口：通常为衔接终端设备的端口
，如PC
，网络打印机等
·信赖端口：衔接合法DHCP服务器的端口或者衔接汇聚互换机的上行端口
通过开启DHCP监听个性
，互换机限杜酌户端口（非信赖端口）只可能发送DHCP要求
，抛弃来自用户端口的所有其它DHCP报文
，例如DHCP?Offer报文等。并且
，并非所有来自用户端口的DHCP要求都被允许通过
，互换机还会比力DHCP?要求报文的（报文头里的）源MAC地址和（报文内容里的）DHCP客户机的硬件地址（即CHADDR字段）
，只有这两者一样的要求报文才会被转发
，不然将被抛弃。这样就预防了DHCP耗竭***。

信赖端口能够接管所有的DHCP报文。通过只将互换机衔接到合法DHCP服务器的端口设置为信赖端口
，其他端口设置为非信赖端口
，就能够预防用户伪造DHCP服务器来***网络。DHCP监听个性还能够对端口的DHCP报文进行限速。通过在每个非信赖端口下进行限速
，将能够阻止合法DHCP要求报文的广播***。
DHCP监听还有一个极度沉要的作用就是成立一张DHCP监听绑定表（DHCP?Snooping?Binding）。一旦一个衔接在非信赖端口的客户端获得一个合法的DHCPOffer
，互换机就会自动在DHCP监听绑定内外增长一个绑定条款
，内容蕴含了该非信赖端口的客户端IP地址、MAC地址、端标语、VLAN编号、租期等信息。如：

Switch#show?ip?dhcp?snooping?binding

MacAddress???????? IpAddress?????? Lease(sec)??? Type???????? VLAN????????? Int
00:0F:1F:C5:10:08 192.168.10.131??? 682463???? dhcp-snooping?? 10?????? FastEthernet0/1

这张DHCP监听绑定表为进一步部署IP源防护（IPSG）和动态ARP检测（DAI）提供了凭据。注明：
I.?非信赖端口只允许客户端的DHCP要求报文通过
，这里只是相对于DHCP报文来说的。其他非DHCP报文还是能够正常转发的。这就暗示客户端能够以静态指定IP地址的方式通过非信赖端口接入网络。由于静态客户端不会发送DHCP报文
，所以DHCP监听绑定内外也不会有该静态客户端的纪录。

信赖端口的客户端信息不会被纪录到DHCP监听绑定内外。若是有一客户端衔接到了一个信赖端口
，即便它是通过正常的DHCP方式获得IP地址
，DHCP监听绑定内外也不有该客户端的纪录。若是要求客户端只能以动态获得IP的方式接入网络
，则必须借助于IPSG和DAI技术。

II.互换机为了获得高速转发
，通常只查抄报文的二层帧头
，获得指标MAC地址后直接转发
，不会去查抄报文的内容。而DHCP监听性质上就是开启互换机对DHCP报文的内容部门的查抄
，DHCP报文不再只是被查抄帧头了。

III.?DHCP监听绑定表不仅用于防御DHCP***
，还为后续的IPSG和DAI技术提供动态数据库支持。

DHCP-SNOOPING配置

DHCP-snooping配置工作
DHCP-snooping的工作就是对DHCP报文进行判断
，预防伪造的DHCP服务器提供DHCP服务
，守护接口上MAC地址与IP地址的对应绑定关系。凭据MAC地址与IP地址的对应绑定
，能够实现DAI（动态ARP监测）和IP?source?guard职能。DHCP-snooping职能重要蕴含侦听DHCP报文、动态守护MAC地址与IP地址的对应绑定表
，二层互换机过滤非信赖端口的不满足这种对应绑定关系的报文
，预防犯法用户对网络的***。

·开启/关关DHCP-snooping职能

·在VLAN?上启动DHCP-snooping
·配置接口为DHCP信赖接口
·在VLAN上启动DAI职能
·配置接口为ARP监测信赖接口
·在VLAN上启动IP源地址监测职能
·配置接口为IP?源地址监测信赖接口
·配置DHCP-snooping绑定备份的TFTP服务器
·配置DHCP-snooping绑定备份的文件名
·配置DHCP-snooping绑定备份的功夫距离
·手工配置增长绑定关系
·DHCP-snooping的监控与守护
·配置DHCP-snooping的示例

Switch(config)#ip dhcp snooping????????//打开DHCP Snooping职能

Switch（config）#ip dhcp snooping vlan 10????//设置DHCP Snooping职能将作用于哪些VLAN

Switch(config)#ip dhcp snoopiing verify mac-address????//非信赖端口收到的DHCP要求报文的源MAC和CHADDR字段是否一样
，以预防DHCP耗竭***
，该职能默认即为开启。

Switch(config-if)#ip dhcp snooping trust????????//配置接口为DHCP监听个性的信赖接口
，所有接口默以为非信赖接口

Switch(config-if)#ip dhcp snoopiing limit rate 15????//限度非信赖端口的DHCP报文速度为每秒15个包（默认即为每秒15个包）若是不配该语句
，则show ip dhcp snooping的了局将不列出没有该语句的端口
，可选速度领域为1-2048

建议
，在配置了端口的DHCP报文限速之后
，最好配置以下两条号令

Switch(config)#errdisable recovery cause dhcp-rate-limit????????//使由于DHCP报文限速而被禁用的端口能自动从err-disable状态后
，经过30秒功夫能力复原

Switch(config)#ip dhcp snooping information option????????//设置互换机是否为非信赖端口收到的DHCP报文插入Option 82
，默认即为开启状态

Swtich(config)#ip dhcp snooping information option?? allow-untrusted ????//设置汇聚互换机将接管从非信赖端口收到的接入互换机发来的带有选项82的DHCP报文

Switch#ip dhcp snooping binding 000f.1fc5.1008 vlan 10 192.168.10.131 interface fa0/2 expiry 692000????????//特权模式号令：手工增长一条DHCP监听绑定条款；expiry为功夫值
，即为监听绑定中的lease（租期）

Switch(config)#ip dhcp snooping database flash:dhcp_snooping.db????????//将DHCP监听表保留在flash中
，文件名为dhcp_snooping.db

Swtich(config)#ip dhcp snooping database tftp://192.168.2.5/Switch/dhcp_snooping.db????????//将DHCP事先确定可达。URL中的Switch是tftp服务器下一个文件夹；保留后的文件名为dhcp_snooping.db
，当更改保留地位后会立即执杏装写”操作。

Swtich(config)#ip dhcp snooping database write-delay 30????????//指DHCP监听绑定表产生更新后
，期待30秒
，再写入文件
，默以为300秒；可选领域为15-86400秒

Switch(config)#ip dhcp snooping database timeout 60????????//指DHCP监听绑定表尝试写入操作失败后
，沉新尝试写入操作
，直到60秒后终场尝试。默以为300秒；可选领域为0-86400秒

注明：现实受骗DHCP监听绑定表产生扭转时会先期待write-delay的功夫
，而后执行写入操作
，若是写入操作失败（好比tftp服务器不成达）
，接着就期待timeout的功夫
，在此功夫段内不休沉试。在timeout功夫过后
，终场写入尝试。但由于监听绑定表已经产生了扭转
，因而沉新起优期待write-delay功夫执行写入操作
，不休循环
，直到写入操作成功。

Switch#renew ip dhcp snooping database flash:dhcp_snooping.db????????//特权级号令：立即保留好的数据库文件中读取DHCP监听表。

显示DHCP Snooping的状态

Switch#show ip dhcp snooping????????//显示当前DHCP监听的各选项和各端口的配置情况

Switch#show ip dhcp snooping binding????????//显示当前的DHCP监听绑定表

Switch#show ip dhcp snooping database????//显示DHCP监听绑定数据库的有关信息

Switch#show ip dhcp snooping statistics????//显示DHCP监听的工作统计

Switch#clear ip dhcp snooping binding????? //断根DHCP监听绑定表；把稳：本号令无法对单一条款进行明显
，只能明显所有条款

Switch#clear ip dhcp snooping database statistics????//清空DHCP监听绑定数据库的计数器

Switch#clear ip dhcp snooping statistics????//清空DHCP监听的工作统计计数器

DHCP Snooping事俘

1、单互换机（DHCP服务器和DHCP客户端位于统一VLAN）

 

环境：Windows 2003 DHCP服务器和客户端都位于Vlan 10；服务器接在F0/1
，客户端接在F0/2

ip dhcp snoopiing vlan 10

ip dhcp snooping

!

int f0/1

switchport access vlan 10

spanning-tree portfast

ip dhcp snooping trust

!

int f0/2

switchport access vlan 10

spanning-tree portfast

ip dhcp snooping limit rate 15

注明：

·本例中互换机对于客户端的DHCP要求报文插入选项 82信息；也能够通过配置no ip dhcp snooping information option号令选择不插入选项82信息。两种情况都能够。

·客户端端口推荐配置spanning-tree portfast号令
，使得该端口不参加天生树推算
，节俭端口启动功夫
，预防可能由于端口启动功夫过长导致客户端得不到IP地址。

·开启DHCP监听个性的vlan并不必要该vlan的三层接口被创建。