更新时间:2023-12-07
1DHCP-SNOOPING配置命令
1.1.DHCP-snooping配置命令
DHCP-SNOOPING配置命令包括:
• ip dhcp-relay snooping
• ip dhcp-relay snooping vlan
• ip dhcp-relay snooping log
• ip dhcp-relay snooping rapid-refresh-bind
• ip dhcp-relay snooping information option
• ip verify source vlan
• ip arp inspection vlan
• ip source binding
• arp inspection trust
• dhcp snooping trust
• ip-source trust
• dhcp snooping deny
• dhcp snooping informarion circuit-id
• dhcp snooping informarion remote-id
• dhcp snooping informarion vendor-specific
• dhcp snooping informarion append
• dhcp snooping informarion drop
• show ip dhcp-relay snooping
• show ip dhcp-relay snooping binding
• debug ip dhcp-relay snooping
• debug ip dhcp-relay event
• debug ip dhcp-relay binding
• debug ip dhcp-relay all
1.1.1.ip dhcp-relay snooping
命令描述
ip dhcp-relay snooping
no ip dhcp-relay snooping
配置VLAN的Dhcp-relay snooping功能开启和关闭,no命令恢复到默认值。
参数
无
缺省
关闭dhcp-relay snooping 功能。
说明
无。
示例
下面的命令将开启DHCP snooping功能:
Switch_config#ip dhcp-relay snooping
Switch_config#
1.1.2.ip dhcp-relay snooping vlan
命令描述
ip dhcp-relay snooping vlan vlan_id
no ip dhcp-relay snooping vlan vlan_id
参数
| 参数 |
参数说明 |
| vlan_id |
VLAN标识。取值范围:1-4094。 |
缺省
无
说明
配置DHCP snooping的VLAN。
示例
下面的命令将在VLAN 2上对DHCP 报文进行snooping检查
Switch_config#ip dhcp-relay snooping vlan 2
Switch_config#
1.1.3.ip dhcp-relay snooping vlan vlan_id max-client
命令描述
ip dhcp-relay snooping vlan vlan_id max-client number
no ip dhcp-relay snooping vlan vlan_id max-client
参数
| 参数 |
参数说明 |
| vlan_id |
VLAN标识。取值范围:1-4094。 |
| number |
允许最大用户数:0~65535 |
缺省
默认为65535个最大用户数。
说明
配置DHCP snooping的VLAN下的允许最大用户数,执行先到先分配的原则,当vlan内的用户数达到配置的允许最大值后,就不允许新的client进行分配。
示例
下面的命令将在VLAN 2上对DHCP 报文进行snooping检查 ,允许最大的用户数为3.
Switch_config#ip dhcp-relay snooping vlan 2 max-client 3
Switch_config#
1.1.4.ip dhcp-relay snooping log
命令描述
ip dhcp-relay snooping log
no ip dhcp-relay snooping log
参数
无
缺省
无
说明
打开该log功能后,如果从非trust端口有dhcp server的报文,那么会报syslog,说明哪个端口上有非法的dhcp server。
示例
下面的命令配置启动dhcp snooping的log功能。
Switch_config#ip dhcp-relay snooping log
Switch_config#
1.1.5.ip dhcp-relay snooping rapid-refresh-bind
命令描述
ip dhcp-relay snooping rapid-refresh-bind
no ip dhcp-relay snooping rapid-refresh-bind
开启dhcp snooping 快速更新表项功能。
参数
无
缺省
无。
说明
此功能开启以后将关闭伪造mac的dhcp攻击,同时允许客户端更换接入的端口后,无需等待ip地址租约到期,就能够直接获取地址。
在此功能关闭以后,如果客户端更换接入的端口,将被开启snooping的设备认为是伪造mac的dhcp报文攻击,会将此dhcp报文丢弃。
示例
无
1.1.6.ip dhcp-relay snooping information option
命令描述
ip dhcp-relay snooping information option [ format snmp-ifindex | manual | cm-type | hn-type [host] | hw-type | option82-customized]
no ip dhcp-relay snooping information option [ format snmp-ifindex | manual | cm-type | hn-type [host] | hw-type | option82-customized]
参数
| 参数 |
参数说明 |
| format snmp-ifindex |
使用SNMP ifindex的方式填写option82(可选) |
| format manual |
使用手动配置填写option82(可选) |
| format cm-type |
使用cm-type格式填写option82(可选) Cm-type表示sub2获取的是cpu的mac |
| format hn-type [host] |
使用cisco格式填写option82(可选) Host表示配置设备为主交换机 |
| format hw-type |
使用hw-type格式填写option82(可选) |
| option82-customized |
使用option82-customized格式 |
缺省
默认不会在报文中追加或除去option82
说明
指定交换机设备在进行DHCP snooping时是否进行DHCP option82的处理。若指定了format snmp-ifindex,则使用SNMP ifindex的方式填写option82;若指定了format manual,则使用在各个端口利用命令“dhcp snooping information circuit-id string”配置的字符串填写option82的circuit-id选项;若指定了cm-type,则表示remote-id获取的mac为cpu的mac;若指定了format hw-type,则用huawei格式填写option82;否则按照RFC3046的规定填写option82.
示例
下面的命令配置使用SNMP ifindex的方式填写option82。
Switch_config#ip dhcp-relay snooping
Switch_config#ip dhcp-relay snooping information option format snmp-ifindex
下面的命令配置使用manual的方式填写option82。
Switch_config#ip dhcp-relay snooping
Switch_config#ip dhcp-relay snooping vlan [WORD] //[WORD]为需要启动snooping功能的vlan名
Switch_config# ip dhcp-relay snooping information option format manual
1.1.7.ip verify source vlan
命令描述
ip verify source vlan vlanid
no ip verify source vlan vlanid
参数
| 参数 |
参数说明 |
| vlan id |
VLAN标识。取值范围:1-4094。 |
缺省
无
说明
配置进行IP 源地址监测的VLAN, no命令去掉监测。 如果IP报文的源IP和源MAC不是dhcp snooping所监听到的dhcp server分配的client合法地址,那么在启用IP 源地址监测的vlan内将此类报文视为非法报文,并且丢弃此报文。
示例
下面的命令将VLAN 2的所有物理端口(信任端口除外)的报文都进行IP 源地址监测。
Switch_config#ip verify source vlan 2
Switch_config#
1.1.8.ip arp inspection vlan
命令描述
ip arp inspection vlan vlanid
no ip arp inspection vlan vlanid
参数
| 参数 |
参数说明 |
| vlanid |
VLAN标识。取值范围:1-4094。 |
缺省
无
说明
配置进行ARP报文 源地址监测的VLAN, no命令去掉监测。 在启用ARP报文 源地址监测的vlan下,会丢弃拥有不符合dhcp server分配给client的IP地址、mac地址对应的SIP和SMAC的ARP报文。
示例
下面的命令将VLAN 2的所有物理端口(信任端口除外)的报文都进行ARP报文源地址监测。
Switch_config#ip arp inspection vlan 2
Switch_config#
1.1.9.ip source binding
命令描述
ip source binding xx:xx:xx:xx:xx:xx A.B.C.D interface name vlan vlan-id
no ip source binding xx:xx:xx:xx:xx:xx A.B.C.D vlan vlan-id
手工添加或者删除端口的MAC地址和IP地址绑定。
参数
| 参数 |
参数说明 |
| xx:xx:xx:xx:xx:xx |
MAC地址 |
| A.B.C.D |
IP 地址 |
| Name |
接口名称 |
| vlan-id |
vlan id号 |
缺省
无。
说明
无
示例
下面的命令在接口 GigaEthernet1/1上绑定08:00:3e:00:00:01和192.168.1.2。
Switch_config#ip source binding 08:00:3e:00:00:01 192.168.1.2 interface GigaEthernet1/1
Switch_config#
1.1.10.arp inspection trust
命令描述
arp inspection trust
no arp inspection trust
参数
无
缺省
默认端口为非信任端口
说明
对于ARP信任端口不进行ARP监测,no命令配置端口为默认值。
示例
下面的命令将端口GigaEthernet1/1配置为ARP信任端口
Switch_config_g1/1#arp inspection trust
1.1.11.dhcp snooping trust
命令描述
dhcp snooping trust
no dhcp snooping trust
参数
无
缺省
默认端口为非信任端口
说明
对于DHCP信任端口不进行DHCP snooping监测,no命令配置端口为默认值。
示例
下面的命令将端口GigaEthernet1/1配置为DHCP信任端口
Switch_config_g1/1#dhcp snooping trust
1.1.12.ip-source trust
命令描述
ip-source trust
no ip-source trust
参数
无
缺省
默认端口为非信任端口
说明
对于IP 源地址信任端口不进行IP源地址监测,no命令配置端口为默认值。
示例
下面的命令将端口GigaEthernet1/1配置为IP源地址信任端口
Switch_config_g1/1#ip-source trust
1.1.13.dhcp snooping deny
命令描述
dhcp snooping deny
no dhcp snooping deny
参数
无
缺省
默认端口不禁止snooping监测
说明
关闭端口上DHCP snooping监测,配置之后自动打开dhcp snooping trust、ip-source trust、arp inspection trust 。no命令配置端口为默认值。
示例
下面的命令关闭端口GigaEthernet1/1 DHCP snooping监测
Switch_config_g1/1#dhcp snooping deny
1.1.14.dhcp snooping information circuit-id
命令描述
dhcp snooping information circuit-id {string STRING | hex xx-xx-xx-xx-xx-xx}
参数
| 参数 |
参数说明 |
| string STRING |
Option82 circuit-id子选项所带的字符串 |
| hex xx-xx-xx-xx-xx-xx |
Option82 circuit-id子选项所带的十六进制数 |
缺省
无
说明
此命令可以在每个连接client的端口上配置。配置此命令可以配置dhcp snooping 监听的dhcp client发到dhcp server 的dhcp报文option82子选项。(需要打开手动方式配置option82选项开关,见命令ip dhcp-relay snooping information option format manual)
示例
在端口g1/3上手动配置option82子选项为group1,且端口g1/3属于vlan 1。
Switch_config#ip dhcp-relay snooping
Switch_config#ip dhcp-relay snooping vlan 1
Switch_config#ip dhcp-relay snooping information option format manual
Switch_config#interface g1/3
Switch_config_g1/3#dhcp snooping information circuit-id string group1
1.1.15.dhcp snooping information remote-id
命令描述
dhcp snooping information remote-id {string STRING | hex xx-xx-xx-xx-xx-xx}
参数
| 参数 |
参数说明 |
| string STRING |
Option82 remote-id子选项所带的字符串 |
| hex xx-xx-xx-xx-xx-xx |
Option82 remote-id子选项所带的十六进制数 |
缺省
无
说明
此命令可以在每个连接client的端口上配置。配置此命令可以配置dhcp snooping 监听的dhcp client发到dhcp server 的dhcp报文option82子选项。(需要打开手动方式配置option82选项开关,见命令ip dhcp-relay snooping information option format manual)
示例
在端口g1/3上手动配置option82子选项为group1,且端口g1/3属于vlan 1。
Switch_config# ip dhcp-relay snooping
Switch_config# ip dhcp-relay snooping vlan 1
Switch_config#ip dhcp-relay snooping information option format manual
Switch_config#interface g1/3
Switch_config_g1/3# dhcp snooping information remote-id string group1
1.1.16.dhcp snooping information vendor-specific
命令描述
dhcp snooping information vendor-specific { string STRING | hex xx-xx-xx-xx-xx-xx }
参数
| 参数 |
参数说明 |
| string STRING |
Option82 verdor-specific子选项所带的字符串 |
| hex xx-xx-xx-xx-xx-xx |
Option82 verdor-specific子选项所带的十六进制数 |
缺省
无
说明
此命令可以在每个连接client的端口上配置。配置此命令可以配置dhcp snooping 监听的dhcp client发到dhcp server 的dhcp报文option82子选项。(需要打开手动方式配置option82选项开关,见命令ip dhcp-relay snooping information option format manual)
示例
在端口g1/3上,用十六进制00-00-00-09-0d-01-0b-78-69-61-6f-6d-69-6e-37-31-31-34配置option82选项vendor-specific(suboption 9)。
Switch_config# ip dhcp-relay snooping
Switch_config# ip dhcp-relay snooping vlan 1
Switch_config#ip dhcp-relay snooping information option format manual
Switch_config#interface g1/3
Switch_config_g1/3# dhcp snooping information vendor-specific hex 00-00-00-09-0d-01-0b-78-69-61-6f-6d-69-6e-37-31-31-34
1.1.17.dhcp snooping information append
命令描述
dhcp snooping information append
dhcp snooping information append first-subop9-param { hex xx-xx-xx-xx-xx-xx | hostname | vlanip }
dhcp snooping information append second-subop9-param { hex xx-xx-xx-xx-xx-xx | hostname | vlanip }
no dhcp snooping information append
no dhcp snooping information append first-subop9-param
no dhcp snooping information append second-subop9-param
参数
| 参数 |
参数说明 |
| first-subop9-param hex [xx-xx-xx-xx-xx-xx] |
Option82 vendor-specific(suboption9)子选项所带的第一个参数的十六进制 |
| second-subop9-param hex [xx-xx-xx-xx-xx-xx] |
Option82 vendor-specific(suboption9)子选项所带的第二个参数的十六进制 |
| hostname |
Option82 vendor-specific(suboption9)子选项所带的参数为主机名 |
| vlanip |
Option82 vendor-specific(suboption9)子选项所带的参数为interface vlan的ip地址 |
缺省
无
说明
此命令可以在每个连接client的端口上配置。配置此命令可以配置dhcp snooping 监听的dhcp client发到dhcp server 的dhcp报文option82子选项。
此命令不带参数时为开关命令。当打开append后,则在option82选项的suboption9中追加自己信息。追加信息为first-subop9-param和second-subop9-param。
示例
在端口g1/3上扩充带option82的dhcp报文,用十六进制61-62-63-61-62-63配置suboption9追加参数一。
Switch_config_g1/3# dhcp snooping information append
Switch_config_g1/3#dhcp snooping information append first-subop9-param hex 61-62-63-61-62-63
其中61-62-63-61-62-63为需要增加的参数的十六进制。
1.1.18.dhcp snooping information drop
命令描述
dhcp snooping information drop
no dhcp snooping information drop
参数
无
缺省
无
说明
此命令可以在每个连接client的端口上配置。
此命令配置后,将在制定端口上丢弃包含option82选项的请求包。
示例
在端口g1/3上配置丢弃带option82的dhcp报文。
Switch_config_g1/3# dhcp snooping information drop
1.1.19.show ip dhcp-relay snooping
命令描述
show ip dhcp-relay snooping
参数
无
缺省
无
说明
显示 Dhcp-relay snooping的配置信息。
示例
下面的命令将显示dhcp-relay snooping的配置信息。
Switch_config#show ip dhcp-relay snooping
1.1.20.show ip dhcp-relay snooping binding
命令描述
show ip dhcp-relay snooping binding [all]
参数
无
缺省
无
说明
显示 dhcp-relay snooping的添加到端口绑定信息。
命令all显示 所有Dhcp-relay snooping的绑定信息
示例
下面的命令将显示dhcp-relay snooping的binding信息。
Switch_config#show ip dhcp-relay snooping binding
1.1.21.debug ip dhcp-relay snooping
命令描述
debug ip dhcp-relay snooping
no debug ip dhcp-relay snooping
参数
无
缺省
无
说明
打开/关闭 Dhcp-relay snooping的调试开关。
示例
下面的命令将打开dhcp-relay snooping的调试开关。
Switch#debug ip dhcp-relay snooping
Switch#
1.1.22.debug ip dhcp-relay event
命令描述
debug ip dhcp-relay event
no debug ip dhcp-relay event
参数
无
缺省
无
说明
打开/关闭 Dhcp-relay的event调试开关。
示例
下面的命令将打开dhcp-relay的event调试开关。
Switch#debug ip dhcp-relay event
Switch#
1.1.23.debug ip dhcp-relay binding
命令描述
debug ip dhcp-relay binding
no debug ip dhcp-relay binding
参数
无
缺省
无
说明
打开/关闭 Dhcp-relay snooping的binding调试开关。
示例
下面的命令将打开dhcp-relay snooping的binding调试开关。
Switch#debug ip dhcp-relay binding
Switch#
1.1.24.debug ip dhcp-relay all
命令描述
debug ip dhcp-relay all
no debug ip dhcp-relay all
参数
无
缺省
无
说明
打开/关闭 Dhcp-relay 的所有调试开关,包括binding、event、snooping。
示例
下面的命令将打开dhcp-relay的所有调试开关。
Switch#debug ip dhcp-relay all
Switch#
