admin管理员组

文章数量:1535035

2024年1月25日发(作者:)

神州数码交换机DHCP服务器配置

DHCP 服务器配置命令

手工绑定时,将IP地址10.1.128.160 与用户唯一标识为 00-10-5a-60-af-12 的用户绑定。

Switch(dhcp-1-config)#client-identifier 00-10-5a-60-af-12

Switch(dhcp-1-config)#host 10.1.128.160 24

用户唯一标识为00-10-5a-60-af-12 的用户设置用户名为network。

Switch(dhcp-1-config)#client-name network

设置DHCP 客户机的缺省网关为 10.1.128.2 和10.1.128.100。

Switch(dhcp-1-config)#default-router

10.1.128.100

设置DHCP 客户机的DNS 服务器的地址为 10.1.128.3。

Switch(dhcp-1-config)#dns-server 10.1.128.3

指定DHCP 客户机的域名为

Switch(dhcp-1-config)#domain-name

手工绑定时,将IP地址10.1.128.160与硬件地址为 00-00-e2-3a-26-04 的用户绑定。

Switch(dhcp-1-config)#hardware-address 00-00-e2-3a-26-04

Switch(dhcp-1-config)#host 10.1.128.160 24

关闭DHCP 服务器的日志功能。

Switch(Config)#no ip dhcp conflict logging

将10.1.128.1 到10.1.128.10 之间的地址保留,不用于动态分配。

Switch(Config)#ip

10.1.128.10

定义一个地址池,取名1。

Switch(Config)#ip dhcp pool 1

Switch(dhcp-1-config)#

dhcp excluded-address 10.1.128.1

10.1.128.2

修改发ping 包的个数为5 个。

Switch(Config)#ip dhcp ping packets 5

修改超时时间为1 秒钟。

Switch(Config)#ip dhcp ping timeout 1000

打开DHCP 日志功能,日志主机为 192.168.1.101,端口号为 45。

Switch(Config)#loghost dhcp 192.168.1.101 45

DHCP 地址池1 的租期设置为3 天 12 个小时30 分钟。

Switch(dhcp-1-config)#lease 3 12 30

地址池1 的客户机的节点类型为广播型。

Switch(dhcp-1-config)#netbios-node-type b-node

b-node 为广播型;h-node 为先点对点后广播的混合型;m-node 为先广播后点对点的混合型;p-node为点对点型

地址池1 的可分配的地址为 10.1.128.0/24。

Switch(dhcp-1-config)#network-address 10.1.128.0 24

配置WWW 服务器的地址为10.1.128.240。

Switch(dhcp-1-config)#option 72 ip 10.1.128.240

打开DHCP 服务器。

Switch(Config)#service dhcp

DHCP 配置举例

为减轻网络管理员和用户的配置负担,现有某公司将 DCRS-5526S 作为DHCP 服务器。其Admin VLAN的IP 地址为

10.16.1.2/24。其中公司局域网因为办公地点分成了A 地、B 地两部分,A 地、B 地的网络配置如下表。

PoolA(network 10.16.1.0) PoolB(network 10.16.2.0)

设备 Ip 地址 设备 Ip 地址

缺省网关 10.16.1.200 缺省网关 10.16.2.200

10.16.1.201 10.16.2.201

DNS 服务器 10.16.1.202 DNS 服务器 10.16.2.202

Wins 服务器 10.16.1.209 WWW 服务器 10.16.2.209

Wins 的节点类型 H-node

Lease 3 天 Lease 1 天

其中在A处,因为工作的需要,特地将一台 MAC 地址为00-03-22-23-dc-ab的机器分配固定的IP 地址10.16.1.210,命名为management。

Switch(Config)#interface vlan 1

Switch(Config-Vlan-1)#ip address 10.16.1.2 255.255.255.0

Switch(Config-Vlan-1)#exit

Switch(Config)#ip dhcp pool A

Switch(dhcp-A-config)#network 10.16.1.0 24

Switch(dhcp-A-config)#lease 3

Switch(dhcp-A-config)#default-route

10.16.1.201

Switch(dhcp-A-config)#dns-server 10.16.1.202

Switch(dhcp-A-config)#netbios-name-server 10.16.1.209

Switch(dhcp-A-config)#netbios-node-type H-node

Switch(dhcp-A-config)#exit

Switch(Config)#ip

10.16.1.210

Switch(Config)#ip dhcp pool B

Switch(dhcp-B-config)#network 10.16.2.0 24

Switch(dhcp-B-config)#lease 1

Switch(dhcp-B-config)#default-route

10.16.2.201

Switch(dhcp-B-config)#dns-server 10.16.2.202

Switch(dhcp-B-config)#option 72 ip 10.16.2.209

Switch(dhcp-config)#exit

Switch(Config)#ip

10.16.2.210

Switch(Config)#ip dhcp pool A1

dhcp excluded-address 10.16.2.200

10.16.2.200

dhcp excluded-address 10.16.1.200

10.16.1.200

Switch(dhcp-A1config)#host 10.16.1.210

Switch(dhcp-A1-config)#hardware-address

Switch(dhcp-A1-config)#client-name management

Switch(dhcp-A1-config)#exit

DHCP Snooping配置

启动DHCP Snooping功能

Switch(Config)#ip dhcp snooping enable

启动DHCP Snooping绑定功能

Switch(Config)#ip dhcp snooping binding enable

在交换机端口 Ethernet0/0/16 配置静态绑定用户

Switch(Config)#ip dhcp snooping binding user 00-03-0f-12-34-56 address 192.168.1.16 255.255.255.0 vlan 1 interface

Ethernet0/0/16

启动DHCP Snooping绑定 ARP 功能

Switch(Config)#ip dhcp snooping binding arp

在端口 ethernet1/1 启动绑定 DOT1X 功能

Switch(Config)#interface ethernet 0/0/1

Switch(Config- Ethernet 0/0/1)# ip dhcp snooping binding

dot1x

在端口 ethernet1/1 启动绑定 USER功能

Switch(Config)#interface ethernet 0/0/1

Switch(Config- Ethernet 0/0/1)# ip dhcp snooping binding

user-control

这个命令和 ip dhcp snooping binding dot1x 命令互斥

设置端口 ethernet0/0/1为 DHCP Snooping信任端口

Switch(Config)#interface ethernet 0/0/1

Switch(Config- Ethernet 0/0/1)#ip dhcp snooping trust

设置端口 ethernet0/0/1的 DHCP Snooping 防御动作为设置

blackhole,自动恢复时间为 30秒

Switch(Config)#interface ethernet 0/0/1

Switch(Config- Ethernet 0/0/1)#ip dhcp snooping action

blackhole recovery 30

设置防御动作数目为 100

Switch(Config)#ip dhcp snooping action maxnum 100

设置交换机 DHCP 报文转发速率为 200pps

Switch(Config)#ip dhcp snooping limit-rate 200

DHCP Snooping典型应用举例:

Mac-AA 设备为正常用户,连接在 DCN交换机非信任端口 0/0/1上,其通过 DHCP

Client 活动 IP 1.1.1.5;DHCP Server 和 GateWay 连接在 DCN

交换机的信任端口0/0/11;0/0/12上;恶意用户 Mac-BB连接在非信任端口 0/0/10 上,试图伪装 DHCP Server(发送 DHCPACK)。在交换机上设置 DHCP Snooping将能有效发现并阻止这种网络攻击

配置序列为:

Switch#config

Switch(Config)#ip dhcp snooping

Switch(Config)#interface ethernet 0/0/11

Switch(Config-Ethernet0/0/11)#ip dhcp snooping trust

Switch(Config-Ethernet0/0/11)#exit

Switch(Config)#interface ethernet 0/0/12

Switch(Config-Ethernet0/0/12)#ip dhcp snooping trust

Switch(Config-Ethernet0/0/12)#exit

Switch(Config)#interface ethernet 0/0/1-10

Switch(Config-Port-Range)#ip

shutdown

Switch(Config-Port-Range)#

防 ARP 扫描功能命令

dhcp snooping action

在交换机上启动防 ARP 扫描功能

Switch(Config)#anti-arpscan enable

在交换机上配置基于端口的防 ARP 扫描速率阈值为 20个/秒

Switch(Config)#anti-arpscan port-based threshold 20

如果接收的 ARP 报文的速率超过此设定值,则关闭此端口

在交换机上配置基于 IP 的防ARP 扫描速率阈值为 6个/秒

Switch(config)#anti-arpscan ip-based threshold 6

将交换机的端口 ethernet 0/0/5配置为信任端口

Switch(config)#interface ethernet0/0/5

Switch(Config-if-ethernet 0/0/5)#anti-arpscan trust port

将192.168.1.0/24 配置为信任 IP

Switch(config)#anti-arpscan

255.255.255.0

在交换机上启动自动恢复功能

Switch(config)#anti-arpscan recovery enable

设置自动恢复时间为 3600 秒。

Switch(config)#anti-arpscan recovery time 3600

在交换机上启动防 ARP扫描的日志功能。

Switch(config)#anti-arpscan log enable

在交换机上启动防 ARP扫描的 SNMP Trap 功能。

Switch(config)#anti-arpscan trap enable

trust ip 192.168.1.0

本文标签: 配置用户交换机服务器设置

版权声明:本文标题:神州数码交换机DHCP服务器配置 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1706142552a172790.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。