一.工作原理:
a.在指定vlan啟用dhcp snooping後,將埠分為trusted介面和untrusted介面,預設vlan所有介面都變為untrusted介面,需要手動設定trusted介面。
b.對於untrusted介面,只能接收dhcp的請求訊息,不會向這個介面傳送出dhcp的請求訊息。
c.對於untrusted介面,從介面進入的dhcp的響應訊息也會被drop掉
d.對於trusted介面,沒有任何限制,也不做檢測。
---測試後覺得這個不確切,trusted介面如果沒有dhcp請求包進入,不會發出dhcp響應包
---當dhcp伺服器和dhcp客戶端都屬於trusted介面,dhcp客戶端是能正常獲取ip位址的
---也就是說trusted口有dhcp請求包進入時,才會發出dhcp響應包
另外測試中還發現:
①對於思科路由器,如果修改介面mac,交換機不知道是偽造的,最後拿到ip的進入dhcp snooping binding繫結表
②但是不知道為什麼貌似交換機能識別windows主機修改了自己的mac位址
---雖然它從dhcp伺服器那裡成功的獲取了ip位址,但是dhcp snooping binding表裡面不會增加記錄
---把交換機清空配置,重啟這種情況沒有出現,我還以為交換機怎麼能識別出來的呢
---重啟交換機後,windows主機照也能沖掉路由器在交換機dhcp snooping binding表的記錄
③同一vlan ,cam表不會記錄重複的mac位址條目,後到的會沖掉之前的
---即使windows修改介面mac位址會被dhcp snooping發現,但是cam表是被更新的
---如果屬於不同的vlan重複的mac位址是會被cam表記錄的
二.測試拓撲:
三.驗證:
a.交換機在vlan開啟dhcp snooping之後,vlan所有介面預設都為untrust介面
----不用驗證,省略
b.untrust介面只接收dhcp請求的資料報,不會發出dhcp請求的資料報
---這個可以把r1作為dhcp客戶端,r2作為dhcp伺服器端,連線pc1的介面預設untrust和修改為trust來進行驗證
①如果沒有開啟dhcp snooping,在pc上面能夠抓到所有的dhc廣播包
②開啟dhcp snooping後,如果連線pc1的介面為untrusted口,在它上面抓包,收不到任何dhcp的廣播包
③開啟dhcp snooping後,如果連線pc1的介面為trusted口,在它上面抓包,可以抓到dhcp discover包和dhcp request包(都是有客戶端傳送的廣播包,收不到伺服器傳送的廣播包),並且可以看到開啟dhcp snooping之後,dhcp discover包增加了82選項
④關於82選項
---交換機開啟dhcp snooping之後預設是會新增的,可以在交換機上通過sw1(config)#no ip dhcp snooping information option 取消掉
---對於思科路由器作為dhcp伺服器情況,因為它能識別82選項,當發現dhcp discover包含82選項,而又不是由dhcp relay傳送過來的,不會給客戶端分派ip位址,除非通過如下全域性命令或介面命令信任82選項:
r2(config)#ip dhcp relay information trust-all
r2(config-if)#ip dhcp relay information trusted
---值得注意的是,如果交換機開啟了dhcp snooping,又沒有關閉82選項,那麼在作為dhcp中繼的路由器全域性或介面也得開啟信任82選項,否則路由器不會中繼dhcp discover包
---像微軟的dhcp伺服器,其壓根就識別不了82選項,因而會忽略掉82選項
c.對於untrust介面,從介面進入的dhcp響應包會丟棄
---這個不好測試,只能通過dhcp中繼來測試
①當交換機沒有開啟dhcp snooping時,pc1可以收到r2發給它的dhcp offer包(dhcp響應包)
②當交換機開啟dhcp snooping且不配置任何口為信任口時,pc1無法收到dhcp包,並且有如下日誌:
mar 1 18:42:53.774: %dhcp_snooping-5-dhcp_snooping_untrusted_port: dhcp_snooping drop message on untrusted port, message type: dhcpoffer, mac sa: 0002.0002.0002
③當交換機開啟dhcp snooping,僅配置連線r2的介面為信任口時,pc1無法收到dhcp包
④當交換機開啟dhcp snooping,同時配置連線r2和pc1的介面為信任口時,pc1可以收到r2發給它的dhcp offer包(dhcp響應包)
d.對於trusted介面,沒有任何限制,也不做檢測。
---通過上面的測試,其實這個說的不是很確切,trusted介面因為是已知的連線dhcp伺服器的介面,所以交換機把其他dhcp響應包都過濾掉了,不從該介面發出其他dhcp伺服器響應的廣播包。
飯工和碗工
飯工和碗工 飯工和碗工 一看這兩個名詞,你一定費解。聽過鉗工電工清潔工搬運工,或是張工王工,那聽過這個稱謂呀。甭急,這是我的發明,你聽我慢慢道來。我兒子兒媳都在天津工作,住的地方到工作單位較遠。早晨六點半出發,晚上七點後回家。若遇見堵車,回到家就八點多了。他們倆既辛苦又繁忙。我和老伴住在陝西老家,身...
飯工和碗工
飯工和碗工 飯工和碗工 一看這兩個名詞,你一定費解。聽過鉗工電工清潔工搬運工,或是張工王工,那聽過這個稱謂呀。甭急,這是我的發明,你聽我慢慢道來。我兒子兒媳都在天津工作,住的地方到工作單位較遠。早晨六點半出發,晚上七點後回家。若遇見堵車,回到家就八點多了。他們倆既辛苦又繁忙。我和老伴住在陝西老家,身...
飯工和碗工
飯工和碗工 飯工和碗工 一看這兩個名詞,你一定費解。聽過鉗工電工清潔工搬運工,或是張工王工,那聽過這個稱謂呀。甭急,這是我的發明,你聽我慢慢道來。我兒子兒媳都在天津工作,住的地方到工作單位較遠。早晨六點半出發,晚上七點後回家。若遇見堵車,回到家就八點多了。他們倆既辛苦又繁忙。我和老伴住在陝西老家,身...