實(shí)例解析局域網(wǎng)防止私開(kāi)DHCP服務(wù)器

應(yīng)用實(shí)例
    我校1#學(xué)生公寓，PC擁有數(shù)量大約1000臺(tái)。采用DHCP分配IP地址，擁有4個(gè)C類(lèi)地址，實(shí)際可用地址數(shù)約1000個(gè)。由于樓內(nèi)經(jīng)常存在私開(kāi)的DHCP服務(wù)器，導(dǎo)致大量主機(jī)無(wú)法分配到合法IP地址;另外，由于有相當(dāng)數(shù)量的主機(jī)指定IP地址，因此造成了與DHCP分配的IP地址沖突。以上兩方面，均造成了該公寓樓大量主機(jī)無(wú)法正常訪問(wèn)網(wǎng)絡(luò)。
    經(jīng)過(guò)一段時(shí)間的分析、實(shí)驗(yàn)，我們決定對(duì)該公寓樓部署DHCP Snooping和Dynamic ARP Inspection兩項(xiàng)技術(shù)，以保證網(wǎng)絡(luò)的正常運(yùn)行。
    該公寓網(wǎng)絡(luò)設(shè)備使用情況如下，接入層為××臺(tái) 2950交換機(jī)上聯(lián)至堆疊的4臺(tái) 3750，再通過(guò)光纖上聯(lián)至匯聚層的 3750交換機(jī)。同時(shí)匯聚層的 3750交換機(jī)還兼做DHCP服務(wù)器。
    部署過(guò)程
    首先按如下過(guò)程配置DHCP Snooping
    1 configure terminal
    2 ip dhcp snooping 在全局模式下啟用DHCP Snooping
    3 ip dhcp snooping vlan 103 在VLAN 103中啟用DHCP Snooping
    4 ip dhcp snooping information option Enable the switch to insert and remove DHCP relay information(option-82 field) in forwarded DHCP request messages to the DHCP server. The default is enabled.
    5 interface GigabitEthernet1/0/28，進(jìn)入交換機(jī)的第28口
    6 ip dhcp snooping trust 將第28口設(shè)置為受信任端口
    7 ip dhcp snooping limit rate 500 設(shè)置每秒鐘處理DHCP數(shù)據(jù)包上限
    9 end 退出
    完成配置后，可用如下命令觀察DHCP Snooping運(yùn)行狀況：
    show ip dhcp snooping
    得到如下信息：
    Switch DHCP snooping is enabled
    DHCP snooping is configured on following VLANs：
    103
    Insertion of option 82 is enabled
    Verification of hwaddr field is enabled
    Interface Trusted Rate limit (pps)
    ------------------------ ------- ----------------
    GigabitEthernet1/0/22 yes unlimited
    GigabitEthernet1/0/24 yes unlimited
    GigabitEthernet1/0/27 yes unlimited
    GigabitEthernet1/0/28 no 500
    show ip dhcp snooping binding，得到如下信息：
    MacAddress IpAddress Lease(sec) Type VLAN Interface
    ------------------ --------------- ---------- ------------- ---- -----------------------------------------------------------