- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
14-DHCP Snooping配置
本章节下载: 14-DHCP Snooping配置 (408.36 KB)
目 录
1.1.3 DHCP Snooping支持Option 82功能
1.5.1 在普通组网中配置DHCP Snooping基本功能
1.6 配置DHCP Snooping支持Option 82功能
1.8 配置接口动态学习DHCP Snooping表项的最大数目
1.11 开启DHCP Snooping的DHCP请求方向报文的giaddr字段检查功能
1.13.2 开启DHCP Snooping报文丢弃告警功能
1.14.2 配置DHCP Snooping表项资源耗尽/恢复的告警功能
1.14.3 配置DHCP Snooping表项资源使用率大于等于阈值或恢复到低于阈值的告警功能
1.14.4 配置DHCP Snooping报文丢弃告警功能(一)
1.14.5 配置DHCP Snooping报文丢弃告警功能(二)
1.16.3 显示和清除DHCP Snooping设备上的DHCP报文统计信息
DHCP Snooping是DHCP的一种安全特性。
DHCP Snooping设备只有位于DHCP客户端与DHCP服务器之间,或DHCP客户端与DHCP中继之间时,DHCP Snooping功能配置后才能正常工作;设备位于DHCP服务器与DHCP中继之间时,DHCP Snooping功能配置后不能正常工作。
网络中如果存在私自架设的非法DHCP服务器,则可能导致DHCP客户端获取到错误的IP地址和网络配置参数,从而无法正常通信。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口:
· 信任端口正常转发接收到的DHCP报文。
· 不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文。
在DHCP Snooping设备上指向DHCP服务器方向的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。
DHCP Snooping通过监听DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文,记录DHCP Snooping表项,其中包括客户端的MAC地址、DHCP服务器为DHCP客户端分配的IP地址、与DHCP客户端连接的端口及VLAN等信息。利用这些信息可以实现:
· ARP Detection:根据DHCP Snooping表项来判断发送ARP报文的用户是否合法,从而防止非法用户的ARP攻击。ARP Detection的详细介绍请参见“安全配置指导”中的“ARP攻击防御”。
如图1-1所示,在DHCP Snooping设备上指向DHCP服务器方向的端口需要设置为信任端口,以便DHCP Snooping设备正常转发DHCP服务器的应答报文,保证DHCP客户端能够从合法的DHCP服务器获取IP地址。
在多个DHCP Snooping设备级联的网络中,为了节省系统资源,不需要每台DHCP Snooping设备都记录所有DHCP客户端的IP地址和MAC地址的绑定信息,只需在与客户端直接相连不信任端口上记录绑定信息。间接与DHCP客户端相连的不信任端口不需要记录IP地址和MAC地址绑定信息。
图1-2 DHCP Snooping级联组网图
|
设备 |
记录绑定信息的不信任端口 |
不记录绑定信息的不信任端口 |
信任端口 |
|
Device A |
Port A1 |
Port A3 |
Port A2 |
|
Device B |
Port B3和Port B4 |
Port B1 |
Port B2 |
|
Device C |
Port C1 |
Port C3和Port C4 |
Port C2 |
Option 82记录了DHCP客户端的位置信息。管理员可以利用该选项定位DHCP客户端,实现对客户端的安全和计费等控制。Option 82的详细介绍请参见“网络互通配置指导”中的“DHCP概述”。
如果DHCP Snooping支持Option 82功能,则当设备接收到DHCP请求报文后,将根据报文中是否包含Option 82以及用户配置的处理策略及填充模式等对报文进行相应的处理,并将处理后的报文转发给DHCP服务器。具体的处理方式见表1-2。DHCP Snooping对Option 82的处理策略、填充模式与DHCP中继相同。
DHCP Snoopng还支持填充Option82选项的Vendor-specific子选项,当DHCP Snooping收到DHCP请求报文后,会填充Option 82的Vendor-specific子选项并转发该报文。选项内容包括节点标识、设备用户侧的接口信息和用户所在VLAN的信息等。DHCP请求报文每经过一台DHCP Snooping,Vendor-specific子选项都会将当前DHCP Snooping设备的节点标识、设备用户侧的接口信息和用户所在VLAN的信息等添加到已有的Vendor-specific子选项中。管理设备收到DHCP请求报文后,通过解析报文中的Vendor-specific子选项就可以确定该请求报文经过的网络拓扑,方便定位用户所在的位置。
当设备接收到DHCP服务器的响应报文时,如果报文中含有Option 82,则删除Option 82,并转发给DHCP客户端;如果报文中不含有Option 82,则直接转发。
表1-2 DHCP Snooping支持Option 82的处理方式
|
收到DHCP请求报文 |
处理策略 |
DHCP Snooping对报文的处理 |
|
收到的报文中带有Option 82 |
Append |
按照如下处理方式处理报文并进行转发: · 若配置了dhcp snooping information vendor-specific命令,则按照此命令配置的内容向Option 82的Vendor-specific子选项添加内容 · 若未配置dhcp snooping information vendor-specific命令,则保持该报文中的Option 82不变 |
|
Drop |
丢弃报文 |
|
|
Keep |
保持报文中的Option 82不变并进行转发 |
|
|
Replace |
根据DHCP Snooping上配置的填充模式、内容、格式等填充Option 82,替换报文中原有的Option 82并进行转发 |
|
|
收到的报文中不带有Option 82 |
- |
根据DHCP Snooping上配置的填充模式、内容、格式等填充Option 82,添加到报文中并进行转发 |
本特性的部分命令支持在配置模板视图下配置,具体命令行的支持情况请见本特性的命令参考。有关配置模板的详细介绍请参见“基础配置指导”中的“配置文件管理”。
配置DHCP Snooping基本功能时,需要注意:
· 如果二层以太网接口加入聚合组,则在该接口上进行的DHCP Snooping相关配置不会生效;该接口退出聚合组后,之前的配置才会生效。
· 为了使DHCP客户端能从合法的DHCP服务器获取IP地址,必须将与合法DHCP服务器相连的端口设置为信任端口,设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。
· 目前,可以设置为DHCP Snooping信任端口的接口类型包括: 二层以太网接口、二层聚合接口。关于聚合接口的详细介绍,请参见“网络互通配置指导”中的“以太网链路聚合”。
DHCP Snooping配置任务如下:
(2) (可选)配置DHCP Snooping支持Option 82功能D:\ICC\1745262419094073344\198\ZH\13337\DHCP Snooping配置.docx - _Topic_241837_20240321192583_title
(3) (可选)配置DHCP Snooping表项固化功能DHCP Snooping配置.docx - _Topic_241835_20240321192798_title
(4) (可选)配置接口动态学习DHCP Snooping表项的最大数目DHCP Snooping配置.docx - _Topic_241840_20240321192994_title
(5) (可选)配置DHCP Snooping报文限速功能
(6) (可选)配置DHCP Snooping安全功能
(7) (可选)开启DHCP Snooping的DHCP请求方向报文的giaddr字段检查功能
(8) (可选)开启DHCP Snooping的用户下线探测功能DHCP Snooping配置.docx - _Topic_241871_20240321194235_title
(9) (可选)开启DHCP Snooping日志和告警功能DHCP Snooping配置.docx - _Topic_241869_20240321194398_title
¡ 开启DHCP Snooping日志信息功能DHCP Snooping配置.docx - _Topic_241859_20240321194557_title
¡ 开启DHCP Snooping报文丢弃告警功能DHCP Snooping配置.docx - _Topic_241829_20240321194788_title
(10) (可选)开启DHCP Snooping告警功能DHCP Snooping配置.docx - _Topic_241870_20240321194969_title
(11) (可选)关闭接口的DHCP Snooping功能
在一台DHCP Snooping设备上,如果全局开启了DHCP Snooping功能,则设备上所有VLAN内的DHCP Snooping功能也同时开启。
对于某些组网来说,管理员只需要在设备在某些特定VLAN内开启DHCP Snooping功能,而不需要在整个设备上开启DHCP Snooping功能。为了满足此需求,设备支持在指定VLAN内开启DHCP Snooping功能,并在VLAN内配置DHCP Snooping信任端口和开启端口的DHCP Snooping表项记录功能。
在一台设备上,全局DHCP Snooping功能和VLAN内的DHCP Snooping功能关系如下:
· 如果全局开启了DHCP Snooping基本功能(包括开启DHCP Snooping功能、配置信任端口和配置DHCP Snooping表项记录功能),只能使用对应的全局命令关闭功能,使用VLAN内的命令关闭功能不生效;
· 如果VLAN内开启了DHCP Snooping基本功能(包括开启DHCP Snooping功能、配置信任端口和配置DHCP Snooping表项记录功能),只能使用对应的VLAN内命令关闭功能,使用全局命令关闭功能不生效。
(1) 进入系统视图。
system-view
(2) 全局开启DHCP Snooping功能。
dhcp snooping enable
缺省情况下,DHCP Snooping功能处于关闭状态。
(3) 进入接口视图。
interface interface-type interface-number
此接口为连接DHCP服务器的接口。
(4) 配置端口为信任端口。
dhcp snooping trust
缺省情况下,在开启DHCP Snooping功能后,设备的所有端口均为不信任端口。
(5) (可选)开启端口的DHCP Snooping表项记录功能。
a. 退回系统视图。
quit
b. 进入接口视图。
interface interface-type interface-number
此接口为连接DHCP客户端的接口。
c. 开启DHCP Snooping表项记录功能。
dhcp snooping binding record
缺省情况下,DHCP Snooping表项记录功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 在指定VLAN内开启DHCP Snooping功能。
dhcp snooping enable vlan vlan-id-list
缺省情况下,所有VLAN内的DHCP Snooping功能处于关闭状态。
(3) 进入VLAN视图。
vlan vlan-id
该VLAN为开启了DHCP Snooping功能的VLAN。
(4) 配置指定接口为VLAN下DHCP Snooping功能的信任端口。
dhcp snooping trust interface interface-type interface-number
缺省情况下,在开启DHCP Snooping功能后,VLAN内的所有接口均为不信任端口。
(5) (可选)开启VLAN的DHCP Snooping表项记录功能。
dhcp snooping binding record
缺省情况下,VLAN的DHCP Snooping表项记录功能处于关闭状态。
配置DHCP Snooping支持Option 82功能时,需要注意:
· 如果二层以太网接口加入聚合组,则在该接口上进行的DHCP Snooping支持Option 82功能的配置不会生效;该接口退出聚合组后,之前的配置才会生效。
· 为使Option 82功能正常使用,需要在DHCP服务器和DHCP Snooping设备上都进行相应配置。DHCP服务器的相关配置请参见“网络互通配置指导”中的“DHCP服务器”。
· 如果以设备名称(sysname)作为节点标识填充DHCP报文的Option 82,则设备名称中不能包含空格;否则,DHCP Snooping将不处理该报文。用户可以通过sysname命令配置设备名称,该命令的详细介绍请参见“基本配置命令参考”中的“设备管理”。
(1) 进入系统视图。
system-view
(2) 本功能支持在如下两种视图下配置:
¡ 进入接口视图。
interface interface-type interface-number
¡ 进入VLAN视图
vlan vlan-id
(3) 开启DHCP Snooping支持Option 82功能。
dhcp snooping information enable
缺省情况下,DHCP Snooping支持Option 82功能处于关闭状态。
(4) (可选)配置DHCP Snooping对包含Option 82的请求报文的处理策略。
dhcp snooping information strategy { append | drop | keep | replace }
缺省情况下,对带有Option 82的请求报文的处理策略为replace。
DHCP Snooping对包含Option 82请求报文的处理策略为append或replace时,需要配置Option 82的填充模式和填充格式;处理策略为keep或drop时,不需要配置Option 82的填充模式和填充格式。
(5) (可选)配置Circuit ID子选项的填充模式和填充格式。
二层以太网接口视图/二层聚合接口视图/VLAN视图:
dhcp snooping information circuit-id { normal-extended | [ vlan vlan-id ] string circuit-id | { normal | verbose [ node-identifier { mac | sysname | user-defined node-identifier } ] } [ format { ascii | hex } ] }
缺省情况下,Circuit ID子选项的填充模式为Normal,填充格式为hex。
如果以设备的系统名称(sysname)作为节点标识填充DHCP报文的Option 82,则系统名称中不能包含空格;否则,DHCP Snooping添加或替换Option 82失败。
VLAN视图下不支持指定VLAN参数。
(6) (可选)配置Remote ID子选项的填充模式和填充格式。
二层以太网接口视图/二层聚合接口视图/VLAN视图:
dhcp snooping information remote-id { normal [ format { ascii | hex } ] | [ vlan vlan-id ] { hex remote-id | string remote-id | sysname }
缺省情况下,Remote ID子选项的填充模式为Normal,填充格式为hex。
VLAN视图下不支持指定VLAN参数。
(7) (可选)配置Vendor-specific子选项的填充模式。
dhcp snooping information vendor-specific [ vlan vlan-id ] bas [ node-identifier { mac | sysname | user-defined string } ]
缺省情况下,设备不会填充Option 82的Vendor-specific子选项。
VLAN视图下不支持指定VLAN参数。
DHCP Snooping设备重启后,设备上记录的DHCP Snooping表项将丢失,DHCP Snooping与安全模块配合使用,则表项丢失会导致安全模块无法通过DHCP Snooping获取到相应的表项,进而导致DHCP客户端不能顺利通过安全检查、正常访问网络。
DHCP Snooping表项固化功能将DHCP Snooping表项保存到指定的文件中,DHCP Snooping设备重启后,自动根据该文件恢复DHCPDHCP Snooping表项,从而保证DHCP Snooping表项不会丢失。
执行undo dhcp snooping enable命令关闭DHCP Snooping功能后,设备会删除所有DHCP Snooping表项,文件中存储的DHCP Snooping表项不会被马上删除,需要在下一次DHCP Snooping表项保存文件操作时才能删除所有的DHCP Snooping表项。
(1) 进入系统视图。
system-view
(2) 指定存储DHCP Snooping表项的文件名称。
dhcp snooping binding database filename { filename | url url [ username username [ password { cipher | simple } string ] ] }
缺省情况下,未指定存储文件名称。
执行本命令后,会立即触发一次表项备份。
(3) (可选)将当前的DHCP Snooping表项保存到用户指定的文件中。
dhcp snooping binding database update now
本命令只用来触发一次DHCP Snooping表项的备份。
(4) (可选)配置刷新DHCP Snooping表项存储文件的延迟时间。
dhcp snooping binding database update interval interval
缺省情况下,若DHCP Snooping表项不变化,则不刷新存储文件;若DHCP Snooping表项发生变化,默认在300秒之后刷新存储文件。
通过本配置可以限制接口动态学习DHCP Snooping表项的最大数目,以防止接口学习到大量DHCP Snooping表项,占用过多的系统资源。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口动态学习DHCP Snooping表项的最大数目。
dhcp snooping max-learning-num max-number
缺省情况下,不限制接口动态学习DHCP Snooping表项的数目。
为了避免非法用户发送大量DHCP报文,对网络造成攻击,DHCP Snooping支持报文限速功能,限制接口接收DHCP报文的速率。当接口接收的DHCP报文速率超过限制的最高速率时,DHCP Snooping设备将丢弃超过速率限制的报文。
如果二层以太网接口加入了聚合组,则该接口采用对应二层聚合接口下的DHCP Snooping报文限速配置,如果二层以太网接口离开聚合组,则该接口采用二层以太网接口下的DHCP Snooping报文限速配置。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启DHCP Snooping的报文限速功能。
dhcp snooping rate-limit rate
缺省情况下, DHCP Snooping的报文限速功能处于关闭状态,即不限制接口接收DHCP报文的速率。
DHCP饿死攻击是指攻击者伪造chaddr字段各不相同的DHCP请求报文,向DHCP服务器申请大量的IP地址,导致DHCP服务器地址池中的地址耗尽,无法为合法的DHCP客户端分配IP地址,或导致DHCP服务器消耗过多的系统资源,无法处理正常业务。DHCP报文字段的相关内容请参见“网络互通配置指导”中的“DHCP概述”。
如果封装DHCP请求报文的数据帧的源MAC地址各不相同,则通过mac-address max-mac-count命令限制端口可以学习到的MAC地址数,并配置学习到的MAC地址数达到最大值时,丢弃源MAC地址不在MAC地址表里的报文,能够避免攻击者申请过多的IP地址,在一定程度上缓解DHCP饿死攻击。此时,不存在DHCP饿死攻击的端口下的DHCP客户端可以正常获取IP地址,但存在DHCP饿死攻击的端口下的DHCP客户端仍可能无法获取IP地址。
如果封装DHCP请求报文的数据帧的MAC地址都相同,则通过mac-address max-mac-count命令无法防止DHCP饿死攻击。在这种情况下,需要开启DHCP Snooping的MAC地址检查功能。开启该功能后,DHCP Snooping设备检查接收到的DHCP请求报文中的chaddr字段和数据帧的源MAC地址字段是否一致。如果一致,则认为该报文合法,将其转发给DHCP服务器;如果不一致,则丢弃该报文。mac-address max-mac-count命令的详细介绍,请参见“网络互通配置指导”中的“MAC地址表”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启DHCP Snooping的MAC地址检查功能。
dhcp snooping check mac-address
缺省情况下,DHCP Snooping的MAC地址检查功能处于关闭状态。
本功能用来检查DHCP续约报文、DHCP-DECLINE和DHCP-RELEASE三种DHCP请求方向的报文,以防止非法客户端伪造这三种报文对DHCP服务器进行攻击。
伪造DHCP续约报文攻击是指攻击者冒充合法的DHCP客户端,向DHCP服务器发送伪造的DHCP续约报文,导致DHCP服务器和DHCP客户端无法按照自己的意愿及时释放IP地址租约。如果攻击者冒充不同的DHCP客户端发送大量伪造的DHCP续约报文,则会导致大量IP地址被长时间占用,DHCP服务器没有足够的地址分配给新的DHCP客户端。
伪造DHCP-DECLINE/DHCP-RELEASE报文攻击是指攻击者冒充合法的DHCP客户端,向DHCP服务器发送伪造的DHCP-DECLINE/DHCP-RELEASE报文,导致DHCP服务器错误终止IP地址租约。
在DHCP Snooping设备上开启DHCP请求方向报文检查功能,可以有效地防止伪造DHCP请求方向报文攻击。如果开启了该功能,则DHCP Snooping设备接收到上述报文后,检查本地是否存在与请求方向报文匹配的DHCP Snooping表项。若存在,则接收报文信息与DHCP Snooping表项信息一致时,认为该报文为合法的DHCP请求方向报文,将其转发给DHCP服务器;不一致时,认为该报文为伪造的DHCP请求方向报文,将其丢弃。若不存在,则认为该报文合法,将其转发给DHCP服务器。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启DHCP Snooping的DHCP请求方向报文检查功能。
dhcp snooping check request-message
缺省情况下,DHCP Snooping的DHCP请求方向报文检查功能处于关闭状态。
DHCP请求报文中的giaddr字段记录了请求报文经过的第一跳DHCP中继的地址信息。DHCP Snooping设备只有位于DHCP客户端与DHCP服务器之间,或DHCP客户端与DHCP中继之间时,才能正常工作。当DHCP Snooping收到的DHCP请求报文中的giaddr字段不为0,表示DHCP Snooping设备位于DHCP中继与DHCP服务器之间,DHCP Snooping无法正常工作。开启本功能后,DHCP Snooping收到giaddr字段不为0的DHCP请求报文后,直接丢弃该报文。当丢弃的报文数大于或等于阈值时,DHCP Snooping会生成日志信息。管理员看到相关日志信息后,可以及时调整DHCP设备的位置,使DHCP Snooping可以正常工作。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启DHCP Snooping的DHCP请求方向报文的giaddr字段检查功能。
dhcp snooping check giaddr
缺省情况下,DHCP请求方向报文的giaddr字段检查功能处于关闭状态。
当DHCP客户端非正常下线时,不会向DHCP服务器发送报文释放地址租约,这会使DHCP服务器上无法获知DHCP客户端下线,导致地址租约浪费。开启本功能后,当设备上的某条ARP表项老化后,DHCP Snooping就认为该表项对应的DHCP客户端已经下线,则会删除对应的DHCP Snooping表项,并构造DHCP-RELEASE报文通知DHCP服务器删除对应的IP地址租约。
(1) 进入系统视图。
system-view
(2) 开启DHCP Snooping的用户下线探测功能。
dhcp snooping client-detect
缺省情况下,DHCP Snooping的用户下线探测功能处于关闭状态。
DHCP Snooping日志可以方便管理员定位问题和解决问题。DHCP Snooping设备生成DHCP Snooping日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“设备管理配置指导”中的“信息中心”。
当DHCP Snooping设备输出大量日志信息时,可能会降低设备性能。为了避免该情况的发生,用户可以关闭DHCP Snooping日志信息功能,使得DHCP Snooping设备不再输出日志信息。
(1) 进入系统视图。
system-view
(2) 开启DHCP Snooping日志信息功能。
dhcp snooping log enable
缺省情况下,DHCP Snooping日志信息功能处于关闭状态。
开启本功能后,当指定检查功能丢弃的报文数等于通过dhcp snooping alarm threshold命令指定的报文丢弃告警阈值时,设备就会生成相应的告警日志信息。告警后当前统计数据即被清除,设备开启新一轮统计,当DHCP Snooping丢弃的报文数再次达到阈值时,设备会继续输出告警日志。生成的日志信息将会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“设备管理配置指导”中的“信息中心”。
只有开启DHCP Snooping日志信息功能(通过dhcp snooping log enable命令),才能输出告警日志信息。
(1) 进入系统视图。
system-view
(2) 开启DHCP Snooping报文丢弃告警功能。
dhcp snooping alarm { giaddr | mac-address | request-message } enable
缺省情况下,DHCP Snooping报文丢弃告警功能处于关闭状态。
(3) 设置DHCP Snooping报文丢弃告警阈值。
dhcp snooping alarm { giaddr | mac-address | request-message } threshold threshold
缺省情况下,DHCP Snooping报文丢弃的告警阈值为100。
DHCP Snooping告警功能是用来将DHCP Snooping设备发生的重要事件告知给网络管理员,比如DHCP Snooping接口上表项资源耗尽/恢复,DHCP Snooping接口上表项资源使用率大于等于阈值或恢复到低于阈值,DHCP Snooping丢弃报文数超过阈值。
开启DHCP Snooping模块的告警功能后,该模块会生成告警信息,用于报告该模块的重要事件。生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。
有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。
(1) 进入系统视图。
system-view
(2) 开启DHCP Snooping的告警功能。
snmp-agent trap enable dhcp snooping binding-exhaust
缺省情况下,DHCP Snooping表项资源耗尽/恢复的告警功能处于关闭状态。
(3) 进入接口视图。
interface interface-type interface-number
(4) (可选)开启单个接口DHCP Snooping表项资源耗尽/恢复的告警功能。
dhcp snooping exhaustion trap enable
缺省情况下,DHCP Snooping表项资源耗尽/恢复告警功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 开启DHCP Snooping的告警功能。
snmp-agent trap enable dhcp snooping binding-threshold
缺省情况下,DHCP Snooping表项资源使用率大于等于阈值或恢复到低于阈值的告警功能处于关闭状态。
(3) 进入接口视图。
interface interface-type interface-number
(4) (可选)设置单个接口DHCP Snooping表项资源使用率的告警门限阈值。
dhcp snooping learning-num-threshold threshold-value
缺省情况下,单个接口DHCP Snooping的表项使用率告警门限阈值为100%。
本章节的报文丢弃告警功能包括:
· 与DHCP Snooping表项不匹配而被丢弃的请求报文数达到阈值时的告警功能。
· 数据帧头中的源MAC地址与DHCP请求报文中的CHADDR字段不一致被丢弃的报文数达到阈值时的告警功能。
(1) 进入系统视图。
system-view
(2) 开启DHCP Snooping报文丢弃的SNMP模块告警信息功能。
snmp-agent trap enable dhcp snooping [ binding-mismatch | chaddr-mismatch ] *
缺省情况下,DHCP Snooping报文丢弃告警功能均处于关闭状态。
(3) 设置全局DHCP Snooping报文丢弃的告警阈值。
dhcp snooping alarm { mac-address | request-message } threshold threshold
缺省情况下,全局DHCP Snooping报文丢弃的告警阈值均为100。
mac-address和request-message参数分别对应单个接口配置下的chaddr-mismatch和binding-mismatch功能。
(4) 进入接口视图。
interface interface-type interface-number
(5) (可选)关闭单个接口DHCP Snooping报文丢弃告警功能。
undo dhcp snooping trap { binding-mismatch | chaddr-mismatch } enable
缺省情况下,单个接口DHCP Snooping报文丢弃告警功能均处于关闭状态。
(6) (可选)设置单个接口DHCP Snooping报文丢弃的告警阈值。
dhcp snooping trap { binding-mismatch | chaddr-mismatch } threshold threshold
缺省情况下,单个接口DHCP Snooping报文丢弃的告警阈值以全局系统视图下配置的告警阈值为准。
本章节的报文丢弃告警功能包括:
· 因接收的报文速率超过限速值而被丢弃的DHCP报文数达到阈值时的告警功能:当接口丢弃的报文数等于dhcp snooping trap threshold rate-limit命令设置的告警阈值时,设备会发送告警信息。
· 非信任接口丢弃DHCP服务器回应报文数达到阈值时的告警功能:
¡ 通过CPU软件端丢弃报文:CPU软件端将基于单个非信任接口对丢弃的DHCP服务器回应报文数进行统计计数,单个接口上丢弃的报文数达到阈值时,都将发送告警信息。
¡ 通过硬件驱动丢弃报文:设备硬件不区分接口,将基于全局对所有单板上非信任接口丢弃的DHCP服务器回应报文数进行统计计数,全局丢弃的报文数达到阈值时,才会发送告警信息。
开启DHCP Snooping报文丢弃的SNMP模块和DHCP模块的告警信息功能后,当发生以上两种报文丢弃告警事件时,SNMP模块和DHCP模块都会输出相应的告警信息。
(1) 进入系统视图。
system-view
(2) 开启DHCP Snooping报文丢弃的SNMP模块告警信息功能。
snmp-agent trap enable dhcp snooping [ rate-limit | untrust-reply ] *
缺省情况下,DHCP Snooping报文丢弃告警功能均处于关闭状态。
(3) 开启DHCP Snooping报文丢弃的DHCP模块告警信息功能。
dhcp snooping trap { rate-limit | untrust-reply { software | hardware } } enable
缺省情况下,全局DHCP Snooping所有类型的报文丢弃告警功能均处于关闭状态。
(4) 设置全局DHCP Snooping报文丢弃的告警阈值。
dhcp snooping trap { rate-limit | untrust-reply { software | hardware } } threshold threshold
缺省情况下,全局DHCP Snooping报文丢弃的告警阈值均为100。
(5) 进入接口视图。
interface interface-type interface-number
(6) (可选)关闭单个接口DHCP Snooping报文丢弃告警功能。
undo dhcp snooping trap { rate-limit | untrust-reply } enable
缺省情况下,单个接口DHCP Snooping报文丢弃告警功能均处于关闭状态。
(7) (可选)设置单个接口DHCP Snooping报文丢弃的告警阈值。
dhcp snooping trap { rate-limit | untrust-reply software } threshold threshold
缺省情况下,单个接口DHCP Snooping报文丢弃的告警阈值以全局系统视图下配置的告警阈值为准。
当管理员在设备或VLAN中开启DHCP Snooping功能后,该设备或整个VLAN内的所有接口也都开启了DHCP Snooping功能。为了灵活控制DHCP Snooping功能生效的接口范围,用户可以通过本功能关闭某个接口上的DHCP Snooping功能。
(1) 进入系统视图。
system-view
(2) 进入接口视图
interface interface-type interface-number
(3) 关闭接口的DHCP Snooping功能。
dhcp snooping disable
缺省情况下,当接口所在VLAN或设备上已经开启DHCP Snooping功能,接口的DHCP Snooping功能是开启的;当接口所在VLAN或设备上未开启DHCP Snooping功能,接口的DHCP Snooping功能是关闭的。
可在任意视图下执行以下命令:
· 显示信任端口信息。
display dhcp snooping trust
· 显示DHCP Snooping上Option 82的配置信息。
display dhcp snooping information { all | interface interface-type interface-number }
可在任意视图下执行以下命令:
· 显示DHCP Snooping表项信息。
display dhcp snooping binding [ interface interface-type interface-number | ip ip-address [ vlan vlan-id ] ] [ verbose ]
· 显示DHCP Snooping表项备份信息。
display dhcp snooping binding database
请在用户视图下执行以下命令,清除DHCP Snooping表项信息。
reset dhcp snooping binding { all | ip ip-address [ vlan vlan-id ] }
可在任意视图下执行以下命令,显示DHCP Snooping设备上的DHCP报文统计信息。
display dhcp snooping packet statistics [ slot slot-number ]
请在用户视图下执行以下命令,清除DHCP Snooping设备上的DHCP报文统计信息。
reset dhcp snooping packet statistics [ slot slot-number ]
可在任意视图下执行以下命令,显示DHCP Snooping设备上的DHCP告警报文丢弃统计信息。
display dhcp snooping alarm packet statistics interface interface-type interface-number
请在用户视图下执行以下命令,清除DHCP Snooping设备上的DHCP告警报文丢弃统计信息。
reset dhcp snooping alarm packet statistics interface interface-type interface-number
AC通过以太网端口GigabitEthernet1/0/1连接到DHCP服务器,通过GigabitEthernet1/0/2连接到AP。要求:
· 与DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。
· 记录DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文中DHCP客户端IP地址及MAC地址的绑定信息。
图1-3 DHCP Snooping组网示意图
# 配置AC基本功能(详细介绍请参见“WLAN接入配置指导”中的“WLAN接入”)(略)。
# 开启DHCP Snooping功能。
<AC> system-view
[AC] dhcp snooping enable
# 设置GigabitEthernet1/0/1端口为信任端口。
[AC] interface gigabitethernet 1/0/1
[AC-GigabitEthernet1/0/1] dhcp snooping trust
[AC-GigabitEthernet1/0/1] quit
# 在GigabitEthernet1/0/2上开启DHCP Snooping表项功能。
[AC] interface gigabitethernet 1/0/2
[AC-GigabitEthernet1/0/2] dhcp snooping binding record
[AC-GigabitEthernet1/0/2] quit
配置完成后,DHCP客户端只能从DHCP服务器获取IP地址和其它配置信息,且使用display dhcp snooping binding可查询到获取到的DHCP Snooping表项。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
