ipdhcpsnooping配置不当造成pc不能正常获取ip

1、ipdhcpsnooping配置不当造成PC不能正常获取IPipdhcpsnooping配置不当造成PC不能正常获取IP标签：职场休闲原创作品，允许转载，转载时请务必以超链接形式标明文章原始由处、作者信息和本声明。否则将追究法律责任。今天去一个客户那里排查一个困扰他们半个月之久的问题，就是网络中一部分VLAN不能自动获取IP地址，上午去到他们那里已经10点多了，天气有点热，客户的网络结构是，思科6509两台做hsrp为核心层，下面的接入层交换机为思科2950,在6509上启用了DHCP服务，为每个VLAN分配IP地址。现问题就由现在其中的几个VLAN,PC接在这VLAN下就是获取不到IP地址，

2、跟客户沟通知道这几个有问题的VLAN,都接在同一台交换机，看了下6509的配置，没发现什么问题，就是注意到开启了ipdhcpsnooping，问题由现在同一台交换机，那里确定方向了，走，到生产线上，查看问题机器。来到问题机器，进入里面一看，交换机没做什么配置，但注意至ij也配置了ipdhcpsnooping,这是时想dhcpsnooping的主要功能是：能够拦截第二层VLAN域内的所有DHCP报文，查看与6509所接的端口，没有启用dhcpsnoopingtrust,呵呵，这就是问题所在了。DHCP监听将交换机端口划分为两类：非信任端口:通常为连接终端设备的端口，如PC,网络打印机等信任端口：

3、连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口根据以上可知，我在级连接口上启用ipdhcpsnoopingtrust后，把本地接口接上，马上获取到了IP地地址。下面是我在网上查到的关于ipdhcpsnooping的东西，总结一下：一、DHCPsnooping技术介绍DHCP监听(DHCPSnooping)是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性，交换机能够拦截第二层VLAN域内的所有DHCP报文。通过开启DHCP监听特性，交换机限制用户端口（非信任端口）只能够发送DHCP请求，丢弃来自用户端口的所有其它DHCP报文，例如DHC

4、POffer报文等。而且，并非所有来自用户端口的DHCP请求都被允许通过，交换机还会比较DHCP请求报文的（报文头里的）源MAC地址和（报文内容里的）DHCP客户机的硬件地址（即CHADDR字段），只有这两者相同的请求报文才会被转发，否则将被丢弃。这样就防止了DHCP耗竭攻击。信任端口可以接收所有的DHCP报文。通过只将交换机连接到合法DHCP服务器的端口设置为信任端口，其他端口设置为非信任端口，就可以防止用户伪造DHCP服务器来攻击网络。DHCP监听特性还可以对端口的DHCP报文进行限速。通过在每个非信任端口下进行限速，将可以阻止合法DHCP请求报文的广播攻击。DHCP监听还有一个非常重要的

5、作用就是建立一张DHCP监听绑定表（DHCPSnoopingBinding）。一旦一个连接在非信任端口的客户端获得一个合法的DHCPOffer,交换机就会自动在DHCP监听绑定表里添加一个绑定条目，内容包括了该非信任端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信息。二、DHCPsnooping配置Switch(config)#ipdhcpsnooping/打开DHCPSnooping功台匕目匕Switch(config)#ipdhcpsnoopingvlan10/设置DHCPSnooping功能将作用于哪些VLANSwitch(config)#ipdhcpsnoopingve

6、rifymac-adress检测非信任端口收到的DHCP请求报文的源MAC和CHADDR字段是否相同，以防止DHCP耗竭攻击，该功能默认即为开启Switch(config-if)#ipdhcpsnoopingtrust配置接口为DHCP监听特性的信任接口，所有接口默认为非信任接口Switch(config-if)#ipdhcpsnoopinglimitrate15限制非信任端口的DHCP报文速率为每秒15个包(默认即为每秒15个包)如果不配该语句，则showipdhcpsnooping的结果里将不列由没有该语句的端口，可选速率范围为1-2048建议：在配置了端口的DHCP报文限速之后，最好配置

7、以下两条命令Switch(config)#errdisablerecoverycausedhcp-rate-limit使由于DHCP报文限速原因而被禁用的端口能自动从err-disable状态恢复Switch(config)#errdisablerecoveryinterval30设置恢复时间；端口被置为err-disable状态后，经过30秒时间才能恢复Switch(config)#ipdhcpsnoopinginformationoption设置交换机是否为非信任端口收到的DHCP报文插入Option82，默认即为开启状态Switch(config)#ipdhcpsnoopinginfor

8、mationoptionallow-untrusted设置汇聚交换机将接收从非信任端口收到的接入交换机发来的带有选项82的DHCP报文Switch#ipdhcpsnoopingbinding000f.1fc5.1008vlan1031interfacefa0/2expiry692000特权模式命令；手工添加一条DHCP监听绑定条目；expiry为时间值，即为监听绑定表中的lease(租期)Switch(config)#ipdhcpsnoopingdatabaseflash:dhcp_snooping.db将DHCP监听绑定表保存在flash中，文件名为dhcp_snoo

9、ping.dbSwitch(config)#ipdhcpsnoopingdatabasetftp:/Switch/dhcp_snooping.db将DHCP监听绑定表保存到tftp服务器；为tftp服务器地址，必须事先确定可达。URL中的Switch是tftp服务器下一个文件夹；保存后的文件名为dhcp_snooping.db,当更改保存位置后会立即执行“写”操作。Switch(config)#ipdhcpsnoopingdatabasewrite-delay30指DHCP监听绑定表发生更新后，等待30秒，再写入文件，默认为300秒；可选范围为15-86400秒Switch(config)#ipdhcpsnoopingdatabasetimeout60指DHCP监听绑定表尝试写入操作失败后，重新尝试写入操作，直到60秒后停止尝试。默认为300秒；可选范围为0-86400秒说明：实际上当DHCP监听绑定表发生改变时会先等待write-delay的时间，然后执行写入操作，如果写入操作失败（比如tftp服务器不可达），接着就等待timeout的时间，在此时间段内不断重试。在timeout时间过后