DHCP Snooping的應用

隨著網(wǎng)絡的不斷發(fā)展，催生了許多便攜式上網(wǎng)終端設備，例如平板電腦、筆記本電腦和手機，這些設備通過內置的無線接收器連接無線路由器實現(xiàn)了接入互聯(lián)網(wǎng)的目的，在方便我們工作和學習的同時，無線路由器也會因為使用不當引起網(wǎng)絡問題，接下來我們就介紹一下因為無線路由器引發(fā)網(wǎng)絡故障的案例。

圖1 辦公網(wǎng)絡拓撲圖

近日，有同事反映在日常辦公網(wǎng)工作的時候，電腦會出現(xiàn)IP地址沖突的現(xiàn)象，我們仔細觀察了一下顯示IP地址沖突的電腦除了能獲取到一個PPPoE正常撥號后獲取的一個地址外，還會在本地連接處獲取到另外一個IP地址，192.168.1.127，看到這個地址后，作為網(wǎng)絡管理員我們很熟悉這個地址，它是一個私網(wǎng)地址，通常用在家庭路由器的PPPoE地址池使用，我們連接到無線路由器后，通常會獲取到一個192.168.網(wǎng)段的地址。雖然辦公的同事獲取到的192.168.1.127這個地址不會影響上網(wǎng)，但是用戶的PC機會經常出現(xiàn)IP地址沖突這樣的提示。為了徹底解決這個問題，杜絕DHCP報文的濫發(fā)現(xiàn)象，我們決定使用DHCP Snooping功能來限制非法DHCP報文的發(fā)送。首先我們了解下 DHCP Snooping，它允許將某個物理端口設置為信任端口或不信任端口。信任端口可以正常接收并轉發(fā)DHCP Offer報文，而不信任端口會將接收到的DHCP Offer報文丟棄。這樣，可以完成交換機對假冒DHCP Server的屏蔽作用，確?？蛻舳藦暮戏ǖ腄HCP Server獲取IP地址。接下來我們根據(jù)DHCP Snooping的原理進行設備的配置。網(wǎng)絡拓撲結構如圖1所示。

通過圖1我們了解到SW1連接BRAS，然后SW1級聯(lián)了許多交換機，例如SW2、SW3等等，因為DHCP Snooping是一個2層協(xié)議，為了盡可能的減小它對正常報文的影響，我們通常把它設置在接入層交換機中，例如圖1中的SW2上，具體配置:

dhcpsnoop start

在交換機全局開啟dhcpsnooping功能

interface ethernet 25

進入上聯(lián)口25

dhcpsnoop port trust

設置為dhcpsnoop信任端口

interface ethernet 4

進入端口4

dhcpsnoop enable

使能 dhcpsnoop 功能

上面的配置步驟，我們首先在全局配置模式下開啟dhcpsnoop功能，然后將上聯(lián)口25口設置為可信任端口，能接收到正常的DHCP報文，將下聯(lián)口4口的 dhcpsnoop 開啟，限制來自端口4的非法DHCP報文通過。其他下聯(lián)口的配置和4口配置相同，這里就不在一一介紹。這樣我們就完成了在交換機上設置dhcpsnoop 的配置。

通過上面我們在交換機上配置完dhcpsnoop 后，在原來顯示IP地址沖突的電腦上使用ipconfig沒有獲取到地址，這就證明我們的設置是最成功的的。其實作為網(wǎng)絡運維人員我們有時候都是發(fā)現(xiàn)故障后處理，而且是疲于應付類似的網(wǎng)絡故障，所以我們要在網(wǎng)絡中未雨綢繆，了解網(wǎng)絡拓撲的同時，熟練掌握設備的命令，汲取網(wǎng)絡新的知識，將理論與實踐相結合，從而達到活學活用的目的，將網(wǎng)絡故障從源頭扼殺，從源頭處進行防范。最終才能實現(xiàn)網(wǎng)絡穩(wěn)定長效運行。