思科設備配置DHCP命令
DHCP(Dynamic Host Configuration Protocol)基本知識點:
1 、DHCP協議在RFC2131中定義,使用udp協議進行數據報傳遞,使用的端口是67(DHCP服務器)和68(DHCP客戶端)。
2 、DHCP是最常見的應用,自動給終端設備分配IP地址,掩碼,默認網關,但是DHCP也同樣可以給終端設備自動配置其他options,比如DNS server,time zones, NTP servers 以及其他的配置內容,更有些廠家,利用自己開發的第3方軟件,把自己的一些配置信息,利用dhcp協議來實現對終端設備的自動配置。
3 、DHCP服務的系統最基本的構架是 client/server模式,client向server發請求去獲取IP地址。并且如果client 和server不再同一個2層網絡內(即廣播可以到達的網絡范圍),則必須要有能夠透過廣播報文的中繼設備,或者能把廣播報文轉化成單播報文的設備(cisco的ios就引進了這種功能)
4、同一個網段DHCP服務器可以有多個,這不會影響終端設備從服務器獲取配置信息,終端設備以接受到的第一組配置信息為準。以后收到的服務器返回的DHCP配置信息被拋棄。
客戶端在開機的時候會主動的發送訊息給網域上的所有機器,如果網域上沒有DHCP主機,那么客戶端計算機會發送四次請求信息,第一次等待時間為 1 秒,其余三次的等待時間分別是 9、13、16 秒。如果還是沒有DHCP服務器的響應,那么在5分鐘之后,客戶端計算機會重復這一動作。
cisco設備DHCP配置:
Router(config)#service dhcp //開啟dhcp服務,默認開啟
Router(config)#no ip dhcp conflict logging //檢測到地址沖突會記錄到conflict,一旦記錄在conflict里的ip地址就不會再分配,命令取消地址沖突記錄日志,(由于可能手工配置了IP,dhcp在分配地址前會使用arp或ping的方式測試ip是否在存在,如果在用就排除,如果沒用才會分配)
Router(config)#ip dhcp pool vlan10 //創建dhcp地址池,名字為vlan10
Router(dhcp-config)#network 192.168.1.0 /24 //地址范圍
Router(dhcp-config)#default-router 192.168.1.1 //分配的網關
Router(dhcp-config)#dns-server 8.8.8.8 4.4.4.4 1.1.1.1 //分配的dns
Router(dhcp-config)#lease 1 16 30 //租用期順序是天、時、分,這樣設置意思是1天16分30秒,默認是1天
Router(config)#ip dhcp excluded-address 192.168.1.1 //排除192.168.1.1地址,不被分配
Router(config)#ip dhcp excluded-address 192.168.1.10 192.168.1.20 //排除地址192.168.1.10-192.168.1.20的地址,不被分配
Router(config)#ip dhcp ping packets 3 //DHCP服務器在分配一個地址之前,先對這個地址PING一下(不配置默認是PING兩個包),用來確定這個地址是否已被其他主機所用。
需要給MAC地址:aabb.cc00.0600分配特定的地址,需要另外創建地址池:
Router(config)#ip dhcp pool pc2
Router(dhcp-config)# host 192.168.2.188 255.255.255.0 //指定分配的ip地址
Router(dhcp-config)# client-identifier aabb.cc00.0600 //為指定的aabb.cc00.0600 MAC的主機分配地址
Router(dhcp-config)# default-router 192.168.2.1 //分配的網關
Router(config-if)#ip helper-address 10.1.1.1 //dhcp代理,地址指向dhcp服務器的地址,在需要向dhcp獲取地址的接口下配置,前提是要和dhcp 10.1.1.1服務器能通
關于DHCP保護功能,需要在接入交換機上配置
DHCP Snooping(DHCP保護):
Switch(config)#ip dhcp snooping //開啟dhcp snooping 功能
Switch(config)#ip dhcp snooping vlan 10 //snooping為vlan 10生效,只監控vlan10
Switch(config)#no ip dhcp snooping information option //關閉添加選項字段,默認為添加選項字段,如果添加選項dhcp服務器可能無法識別;或者在DHCP服務器端添加Switch(config-if)#ip dhcp relay information trusted 命令,信任information選項字段。
Switch(config-if)#ip dhcp snooping trust //上連接口配置為信任,默認所有接口都是非信任接口,非信任接口不能發送offer包
Source Guard(IP原保護):
Switch(config-if)#ip verify source //接口開啟ip原保護功能,客戶端手動設置的ip地址就無法訪問網絡,通過source binding表只校驗ip地址
Switch(config)#ip source binding aabb.CC00.0310 vlan 10 192.168.1.2 interface Et0/1 //如果想讓某臺設備手動設置ip地址可以訪問網絡,需要手動配置這條命令
Switch(config-if)#switchport port-security //開啟端口安全
Switch(config-if)#ip verify source port-security //配合端口安全使用以及配合ip verify source使用,同時校驗ip地址和mac地址,通過source binding表校驗
Dynamic ARP Inspection (DAI,動態ARP偵測):
Switch(config)#ip arp inspection vlan 10 //只檢測vlan
Switch(config-if)#ip arp inspection trust //上行鏈路配置為信任接口,默認所有接口為非信任
在開啟了DHCP服務的上查看命令:
show ip dhcp pool //查看DHCP 地址池的信息
show ip dhcp pool vlan20 //查看vlan20地址池情況
show ip dhcp binding //查看地址分配情況
show ip dhcp conflict //查看檢沖突導致ip而不會被分配的地址
clear ip dhcp binding * //清除所有dhcp地址分配地址記錄
clear ip dhcp conflict //清除conflict 記錄
如果是用路由器模擬pc獲取ip地址,可以在模擬pc的設備上用以下命令查看獲取情況:
Router#show dhcp lease //查看獲取的IP地址、掩碼、網關等參數
Router#show dhcp server //查看獲取的dns信息
在接入交換機上查看snooping信息:
Switch#show ip dhcp snooping //查看snooping信息
Switch#show ip dhcp snooping binding //查看終端獲取的地址對應信息
Switch#show ip source binding //source binding表和snooping binding信息一樣
- 上一篇
思科交換機如何配置端口鏡像(mirroring)
SPAN:本地設備端口監控,當所有被監聽的源端口與目的端口同處于一臺交換機上,SPAN會話被稱為本地SPAN。 Switch(config)#monitor session 1 source interface fastEthernet 0/0 tx //后面參數tx意思是監控0/0接口發
- 下一篇
思科瘦AP轉胖AP AIR-LAP1131AG-C-K9配置基礎教程
思科瘦AP轉胖AP AIR-LAP1131AG-C-K9配置 首先將AP連接電腦加電后裝好連接線驅動,到設備管理器中查看AP的端口連接的數據如圖: 端口設置中數據參數改和設備管理器中的一致,數據劉控制選. 點擊