信息安全管理与评估--DHCP服务器配置

DHCP服务器配置

service dhcp    

• 启动DHCP 服务器或中继功能

ip dhcp pool pool1
network-address 1.1.1.1 24
default-router 
dns-server 8.8.8.8
domain-name dcn.com
netbios-name-server 2.2.2.2
lease 5
ip dhcp excluded-address 2.2.2.2

• 创建DHCP地址池pool1
• 配置地址池可分配的地址范围
• 为DHCP客户机配置缺省网关
• 为DHCP客户机配置DNS 服务器
• 为DHCP客户机配置域名
• 配置wins服务器的地址
• 配置地址池中地址的租用期限
• 排除地址池中的不用于动态分配的地址

DHCP中继配置

service dhcp
ip forward-protocol udp bootps

• 中继转发UDP端口号为67的DHCP广播报文

ip helper-address 1.1.1.1

• 指定DHCP中继转发的目标IP地址

DHCP Snooping[1]配置

ip dhcp snooping enable
ip dhcp snooping binding enable
ip dhcp snooping information enable
ip user private packet version two
ip dhcp snooping binding arp
ip dhcp snooping limit-rate <pps>

• 开启DHCP snooping功能
• 开启DHCP snooping 绑定功能
• 开启DHCP snooping option82 功能
• 配置或删除私有报文版本号
• 开启 DHCP snooping绑定ARP功能
• 配置DHCP snooping报文转发速率
• 注意：这些命令都是在全局配置模式下配置

int eth0/1
ip dhcp snooping trust
ip dhcp snooping binding user-control
ip dhcp snooping binding dot1x
ip dhcp snooping binding user +mac address +ip vlan +vid interface +出接口 
ip dhcp snooping action shutdown | blackhole 

• 设置端口的 DHCP snooping信任属性
• 开启DHCP snooping绑定user功能
• 开启 DHCP snooping绑定dot1x功能
• 添加DHCP snooping静态绑定表项
• 设置端口DHCP snooping自动防御动作
• 注意：这些命令都是在接口配置模式下配置