所属分类: 网络技术 整理: FengNet.Com 更新日期:2013/4/27 10:42:57 阅读次数:3516

Cisco交换机 DHCP Snooping功能


一、采用DHCP服务的常见问题

架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了
  网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题
常见的有:
·DHCP Server的冒充
·DHCP Server的DOS攻击,如DHCP耗竭攻击
·某些用户随便指定IP地址,造成IP地址冲突

1、DHCP Server的冒充
由于DHCP服务器和客户端之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它
就可以为客户端分配IP地址以及其他网络参数。只要让该DHCP服务器分配错误的IP地址和其他网络参
数,那就会对网络造成非常大的危害。

2、DHCP Server的拒绝服务攻击
通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR字段来判断客户端的MAC
地址。正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。
攻击者可以利用伪造MAC的方式发送DHCP请求,但这种攻击可以使用Cisco 交换机的端口安全特
性来防止。端口安全特性(Port Security)可以限制每个端口只使用唯一的MAC地址。但是如果攻击者不
修改DHCP请求报文的源MAC地址,而是修改DHCP报文中的CHADDR字段来实施攻击,那端口安全
就不起作用了。

由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端,所以攻击者可以通过大量发
送伪造CHADDR的DHCP请求,导致DHCP服务器上的地址池被耗尽,从而无法为其他正常用户提供网
络地址,这是一种DHCP耗竭攻击。DHCP耗竭攻击可以是纯粹的DOS攻击,也可以与伪造的DHCP服
务器配合使用。当正常的DHCP服务器瘫痪时,攻击者就可以建立伪造的DHCP服务器来为局域网中的客
户端提供地址,使它们将信息转发给准备截取的恶意计算机。
甚至即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的,但由于DHCP请求报文是广
播报文,如果大量发送的话也会耗尽网络带宽,形成另一种拒绝服务攻击。

3、客户端随意指定IP地址
客户端并非一定要使用DHCP服务,它可以通过静态指定的方式来设置IP地址。如果随便指定的话,
将会大大提高网络IP地址冲突的可能性。

二、DHCP Snooping技术介绍

DHCP监听(DHCP Snooping)是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用
DHCP监听特性。通过这种特性,交换机能够拦截第二层VLAN域内的所有DHCP报文。
DHCP监听将交换机端口划分为两类
非信任端口:通常为连接终端设备的端口,如PC,网络打印机等
信任端口:连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口
通过开启DHCP监听特性,交换机限制用户端口(非信任端口)只能够发送DHCP请求,丢弃来自
用户端口的所有其它DHCP报文,例如DHCP Offer报文等。而且,并非所有来自用户端口的DHCP请求
都被允许通过,交换机还会比较DHCP 请求报文的(报文头里的)源MAC地址和(报文内容里的)
DHCP客户机的硬件地址(即CHADDR字段),只有这两者相同的请求报文才会被转发,否则将被丢弃。
这样就防止了DHCP耗竭攻击。
信任端口可以接收所有的DHCP报文。通过只将交换机连接到合法DHCP服务器的端口设置为信任端
口,其他端口设置为非信任端口,就可以防止用户伪造DHCP服务器来攻击网络。
DHCP监听特性还可以对端口的DHCP报文进行限速。通过在每个非信任端口下进行限速,将可以阻
止合法DHCP请求报文的广播攻击。
DHCP监听还有一个非常重要的作用就是建立一张DHCP监听绑定表(DHCP Snooping Binding)。一
旦一个连接在非信任端口的客户端获得一个合法的DHCP Offer,交换机就会自动在DHCP监听绑定表里
添加一个绑定条目,内容包括了该非信任端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信
息。如:

Switch#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- ----------------
00:0F:1F:C5:10:08 192.168.10.131 682463 dhcp-snooping 10 FastEthernet0/1
这张DHCP监听绑定表为进一步部署IP源防护(IPSG)和动态ARP检测(DAI)提供了依据。
说明:


I. 非信任端口只允许客户端的DHCP请求报文通过,这里只是相对于DHCP报文来说的。其他非
DHCP报文还是可以正常转发的。这就表示客户端可以以静态指定IP地址的方式通过非信任端口接入网络。
由于静态客户端不会发送DHCP报文,所以DHCP监听绑定表里也不会有该静态客户端的记录。
信任端口的客户端信息不会被记录到DHCP监听绑定表里。如果有一客户端连接到了一个信任端口,
即使它是通过正常的DHCP方式获得IP地址,DHCP监听绑定表里也不有该客户端的记录。
如果要求客户端只能以动态获得IP的方式接入网络,则必须借助于IPSG和DAI技术。

II.交换机为了获得高速转发,通常只检查报文的二层帧头,获得目标MAC地址后直接转发,不会去
检查报文的内容。而DHCP监听本质上就是开启交换机对DHCP报文的内容部分的检查,DHCP报文不再
只是被检查帧头了。

III. DHCP监听绑定表不仅用于防御DHCP攻击,还为后续的IPSG和DAI技术提供动态数据库支持。

IV. DHCP监听绑定表里的Lease列就是每个客户端对应的DHCP租约时间。当客户端离开网络后,该
条目并不会立即消失。当客户端再次接入网络,重新发起DHCP请求以后,相应的条目内容就会被更新。
如上面的000F.1FC5.1008这个客户端原本插在Fa0/1端口,现在插在Fa0/3端口,相应的记录在它再
次发送DHCP请求并获得地址后会更新为:

Switch#show ip dhcp snooping binding
MacAddress      IpAddress  Lease(sec)   Type   VLAN    Interface
------------------    ---------------   ----------   -------------   ----   ----------------
00:0F:1F:C5:10:08 192.168.10.131  691023   dhcp-snooping 10   FastEthernet0/3

V.当交换机收到一个DHCPDECLINE或DHCPRELEASE广播报文,并且报文头的源MAC地址存在
于DHCP监听绑定表的一个条目中。但是报文的实际接收端口与绑定表条目中的端口字段不一致时,该报
文将被丢弃。

DHCPRELEASE 报文:此报文是客户端主动释放IP 地址(如Windows 客户端使用ipconfig
/release),当DHCP服务器收到此报文后就可以收回IP地址,分配给其他的客户端了
DHCPDECLINE报文:当客户端发现DHCP服务器分配给它的IP地址无法使用(如IP地址发生冲突)
时,将发出此报文让DHCP服务器禁止使用这次分配的IP地址。

VI. DHCP监听绑定表中的条目可以手工添加。

VII. DHCP监听绑定表在设备重启后会丢失,需要重新绑定,但可以通过设置将绑定表保存在flash
或者tftp/ftp服务器上,待设备重启后直接读取,而不需要客户端再次进行绑定

VIII. 当前主流的Cisco交换机基本都支持DHCP Snooping功能。

三、DHCP Option 82

当DHCP服务器和客户端不在同一个子网内时,客户端要想从DHCP服务器上分配到IP地址,就必
须由DHCP中继代理(DHCP Relay Agent)来转发DHCP请求包。DHCP中继代理将客户端的DHCP报文
转发到DHCP服务器之前,可以插入一些选项信息,以便DHCP服务器能更精确的得知客户端的信息,
从而能更灵活的按相应的策略分配IP地址和其他参数。这个选项被称为:DHCP relay agent information
option(中继代理信息选项),选项号为82,故又称为option 82,相关标准文档为RFC3046。Option 82是
对DHCP选项的扩展应用。

选项82只是一种应用扩展,是否携带选项82并不会影响DHCP原有的应用。另外还要看DHCP服务
器是否支持选项82。不支持选项82的DHCP服务器接收到插入了选项82的报文,或者支持选项82的
DHCP服务器接收到了没有插入选项82的报文,这两种情况都不会对原有的基本的DHCP服务造成影响。
要想支持选项82带来的扩展应用,则DHCP服务器本身必须支持选项82以及收到的DHCP报文必须被
插入选项82信息。

从非信任端口收到DHCP请求报文,不管DHCP服务器和客户端是否处于同一子网,开启了DHCP
监听功能的Cisco交换机都可以选择是否对其插入选项82信息。默认情况下,交换机将对从非信任端口接
收到的DHCP请求报文插入选项82信息。
当一台开启DHCP监听的汇聚交换机和一台插入了选项82信息的边界交换机(接入交换机)相连时:

如果边界交换机是连接到汇聚交换机的信任端口,那么汇聚交换机会接收从信任端口收到的插入选
项82的DHCP报文信息,但是汇聚交换机不会为这些信息建立DHCP监听绑定表条目。
如果边界交换机是连接到汇聚交换机的非信任端口,那么汇聚交换机会丢弃从该非信任端口收到的
插入了选项82的DHCP报文信息。但在IOS 12.2(25)SE版本之后,汇聚交换机可以通过在全局模式下
配置一条ip dhcp snooping information allow-untrusted命令。这样汇聚交换机就会接收从边界交换机发来的
插入选项82的DHCP报文信息,并且也为这些信息建立DHCP监听绑定表条目。
在配置汇聚交换机下联口时,将根据从边界交换机发送过来的数据能否被信任而设置为信任或者非
信任端口。

四、DHCP Snooping的配置

Switch(config)#ip dhcp snooping
//全局命令;打开DHCP Snooping功能
Switch(config)#ip dhcp snooping vlan 10
//全局命令;设置DHCP Snooping功能将作用于哪些VLAN
Switch(config)#ip dhcp snooping verify mac-address
//全局命令;
//检测非信任端口收到的DHCP请求报文的源MAC和CHADDR字段是否相同,以防止DHCP耗竭攻击
//该功能默认即为开启
Switch(config-if)#ip dhcp snooping trust
//接口级命令;配置接口为DHCP监听特性的信任接口
//所有接口默认为非信任接口
Switch(config-if)#ip dhcp snooping limit rate 15
//接口级命令;限制非信任端口的DHCP报文速率为每秒15个包;
//如果不配该语句,默认即为每秒15个包,但show ip dhcp snooping的结果里将不列出没有该语句的端口
//可选速率范围为1-2048
建议:在配置了端口的DHCP报文限速之后,最好配置以下两条命令
Switch(config)#errdisable recovery cause dhcp-rate-limit
//使由于DHCP报文限速原因而被禁用的端口能自动从err-disable状态恢复
Switch(config)#errdisable recovery interval 30
//设置恢复时间;端口被置为err-disable状态后,经过30秒时间才能恢复
Switch(config)#ip dhcp snooping information option
//全局命令;设置交换机是否为非信任端口收到的DHCP报文插入Option 82
//默认即为开启状态
Switch(config)#ip dhcp snooping information option allow-untrusted
//全局命令;设置汇聚交换机将接收从非信任端口收到的接入交换机发来的带有选项82的DHCP报文
Switch#ip dhcp snooping binding 000f.1fc5.1008 vlan 10 192.168.10.131 interface fa0/2 expiry 692000
//特权模式命令;手工添加一条DHCP监听绑定条目;expiry为时间值,即为监听绑定表中的lease(租期)
Switch(config)#ip dhcp snooping database flash:dhcp_snooping.db
//全局命令;将DHCP监听绑定表保存在flash中,文件名为dhcp_snooping.db
Switch(config)#ip dhcp snooping database tftp://192.168.2.5/Switch/dhcp_snooping.db
//全局命令;将DHCP监听绑定表保存到tftp服务器;192.168.2.5为tftp服务器地址,必须事先确定可达。
//URL中的Switch是tftp服务器下一个文件夹;保存后的文件名为dhcp_snooping.db
说明:当更改保存位置后会立即执行“写”操作。
Switch(config)#ip dhcp snooping database write-delay 30
//全局命令;指DHCP监听绑定表发生更新后,等待30秒,再写入文件;
//默认为300秒;可选范围为15-86400秒
Switch(config)#ip dhcp snooping database timeout 60
//全局命令;指DHCP监听绑定表尝试写入操作失败后,重新尝试写入操作,直到60秒后停止尝试。
//默认为300秒;可选范围为0-86400秒
说明:实际上当DHCP监听绑定表发生改变时会先等待write-delay的时间,然后执行写入操作,如果写
入操作失败(比如tftp服务器不可达),接着就等待timeout的时间,在此时间段内不断重试。在timeout
时间过后,停止写入尝试。但由于监听绑定表已经发生了改变,因此重新开始等待write-delay时间执行写
入操作……不断循环,直到写入操作成功。
Switch#renew ip dhcp snooping database flash:dhcp_snooping.db
//特权级命令;立即从保存好的数据库文件中读取DHCP监听绑定表。

五、显示DHCP Snooping的状态

Switch#show ip dhcp snooping
//显示当前DHCP监听的各选项和各端口的配置情况
Switch#show ip dhcp snooping binding
//显示当前的DHCP监听绑定表
Switch#show ip dhcp snooping database
//显示DHCP监听绑定数据库的相关信息
Switch#show ip dhcp snooping statistics
//显示DHCP监听的工作统计
Switch#clear ip dhcp snooping binding
//清除DHCP监听绑定表;
//注意:本命令无法对单一条目进行清除,只能清除所有条目
Switch#clear ip dhcp snooping database statistics
//清空DHCP监听绑定数据库的计数器
Switch#clear ip dhcp snooping statistics
//清空DHCP监听的工作统计计数器

六、DHCP Snooping的实例

1、单交换机(DHCP服务器和DHCP客户端位于同一VLAN)


环境:Windows2003 DHCP服务器和客户端都位于vlan 10;服务器接在fa0/1,客户端接在fa0/2
2960交换机相关配置:
ip dhcp snooping vlan 10
ip dhcp snooping
!
interface FastEthernet0/1
description : Connect to Win2003 DHCP Server
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping trust
!
interface FastEthernet0/2
description : Connect to DHCP Client
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15
说明:本例中交换机对于客户端的DHCP 请求报文将插入选项82 信息;也可以通过配置no ip dhcp
snooping information option命令选择不插入选项82信息。两种情况都可以。
客户端端口推荐配置spanning-tree portfast命令,使得该端口不参与生成数计算,节省端口启动时间,
防止可能因为端口启动时间过长导致客户端得不到IP地址。
开启DHCP监听特性的vlan并不需要该vlan的三层接口被创建。

2、单交换机(DHCP服务器和DHCP客户端位于同一VLAN)


环境:Cisco IOS DHCP服务器(2821路由器)和PC客户端都位于vlan 10;路由器接在交换机的fa0/1,
客户端接在fa0/2
Windows2003
DHCP Server DHCP Client
2960
CiscoIOS
DHCP Server
2960 DHCP Client
2960交换机相关配置:
ip dhcp snooping vlan 10
ip dhcp snooping
!
interface FastEthernet0/1
description : Connect to IOS DHCP Server C2821_Gi0/0
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping trust
!
interface FastEthernet0/2
description : Connect to DHCP Client
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15

2821路由器相关配置:
ip dhcp excluded-address 192.168.10.1 192.168.10.2
!
ip dhcp pool test
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
lease 8
!
interface GigabitEthernet0/0
description : Connect to C2960_Fa0/1
ip dhcp relay information trusted
ip address 192.168.10.2 255.255.255.0
说明:
I、需要注意的是路由器连接到交换机的端口需要配置ip dhcp relay information trusted,否则客户端将
无法得到IP地址。
这是因为交换机配置了(默认情况)ip dhcp snooping information option,此时交换机会在客户端发出
的DHCP请求报文中插入选项82信息。另一方面由于DHCP服务器(这里指Cisco IOS DHCP服务器)与
客户端处于同一个VLAN中,所以请求实际上并没有经过DHCP中继代理。
对于Cisco IOS DHCP服务器来说,如果它收到的DHCP请求被插入了选项82信息,那么它会认为
这是一个从DHCP中继代理过来的请求报文,但是它检查了该报文的giaddr字段却发现是0.0.0.0,而不
是一个有效的IP地址(DHCP请求报文中的giaddr字段是该报文经过的第一个DHCP中继代理的IP地址,
具体请参考DHCP报文格式),因此该报文被认为“非法”,所以将被丢弃。可以参考路由器上的DHCP
的debug过程。
Cisco IOS里有一个命令,专门用来处理这类DHCP请求报文:ip dhcp relay information trusted(接口
命令)或者ip dhcp relay information trust-all(全局命令,对所有路由器接口都有效);这两条命令的作用
就是允许被插入了选项82信息,但其giaddr字段为0.0.0.0的DHCP请求报文通过。
II、如果交换机不插入选项82信息,即配置了no ip dhcp relay information trusted,那么就不会出现客
户端无法得到IP地址的情况,路由器也不需要配置ip dhcp relay information trusted命令。
III、Windows DHCP服务器应该没有检查这类DHCP请求的机制,所以上一个实例中不论交换机是否
插入选项82信息,客户端总是可以得到IP地址。

3、单交换机(DHCP服务器和DHCP客户端位于不同VLAN)


环境:Cisco IOS DHCP服务器(2821路由器)的IP地址为192.168.2.2,位于vlan 2;DHCP客户端位于
vlan 10;交换机为3560,路由器接在fa0/1,客户端接在fa0/2
3560交换机相关配置:
ip routing

ip dhcp snooping vlan 2,10
ip dhcp snooping
!
interface FastEthernet0/1
description : Connect to IOS DHCP Server C2821_Gi0/0
switchport access vlan 2
switchport mode access
spanning-tree portfast
ip dhcp snooping trust
!
interface FastEthernet0/2
description : Connect to DHCP Client
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15
!
interface Vlan2
ip address 192.168.2.1 255.255.255.0
!
interface Vlan10
ip address 192.168.10.1 255.255.255.0
ip helper-address 192.168.2.2
CiscoIOS
DHCP Server
3560 DHCP Client

2821路由器相关配置:
no ip routing
!
ip dhcp excluded-address 192.168.10.1 192.168.10.2
!
ip dhcp pool test
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
lease 8
!
interface GigabitEthernet0/0
description : Connect to C3560_Fa0/1
ip address 192.168.2.2 255.255.255.0
!
ip default-gateway 192.168.2.1
说明:本例中的路由器不需要配置ip dhcp relay information trusted命令,因为从交换机过来的DHCP请求
经过了中继代理,其报文中的giaddr字段为192.168.10.1,而不是0.0.0.0,是默认正常的DHCP请求报文。

4、多交换机环境(DHCP服务器和DHCP客户端位于不同VLAN)


环境:2611路由器作为DHCP服务器,IP地址为192.168.2.2,位于vlan 2;PC位于vlan 10;
路由器接在3560的Gi0/2,PC接2960的fa0/1口,两交换机互连口都是gi0/1
3560交换机相关配置:
ip routing

interface GigabitEthernet0/1
description : Connect to C2960_Gi0/1
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface GigabitEthernet0/2
description : Connect to IOS DHCP Server C2611_Gi0/0
switchport access vlan 2
switchport mode access
spanning-tree portfast
!
interface Vlan2
ip address 192.168.2.1 255.255.255.0
!
PC
CIisco IOS 3560 2960
DHCP Server
interface Vlan10
ip address 192.168.10.1 255.255.255.0
ip helper-address 192.168.2.2
ip dhcp relay information trusted

2960交换机相关配置:
ip dhcp snooping vlan 10
ip dhcp snooping
interface FastEthernet0/1
description : Connect to PC
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15

interface GigabitEthernet0/1
description : Connect to C3560_Gi0/1
switchport mode trunk
ip dhcp snooping trust

2611路由器相关配置:
no ip routing
!
ip dhcp excluded-address 192.168.10.1 192.168.10.2
!
ip dhcp pool test
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
lease 8
!
interface GigabitEthernet0/0
description : Connect to C3560_Gi0/2
ip address 192.168.2.2 255.255.255.0
!
ip default-gateway 192.168.2.1
说明:本例中3560没有开启DHCP监听功能,2960开启了该功能。需要注意的是int vlan 10需要配置ip
dhcp relay information trusted,理由如同实例2。

5、多交换机环境(DHCP服务器和DHCP客户端位于同一VLAN)
环境:3560交换机自身作为DHCP服务器;PC1和PC2都位于vlan 10;
PC1接3560的fa0/1口,PC2接2960的fa0/1口;两交换机互连口都是gi0/1
3560交换机相关配置:
ip dhcp excluded-address 192.168.10.1
!
ip dhcp pool test
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
lease 8
!
ip dhcp snooping vlan 10
ip dhcp snooping information option allow-untrusted
ip dhcp snooping
!
interface FastEthernet0/1
description : Connect to PC1
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15
!
interface GigabitEthernet0/1
description : Connect to C2960_Gi0/1
switchport trunk encapsulation dot1q
switchport mode trunk
ip dhcp snooping limit rate 360
2960交换机相关配置:
ip dhcp snooping vlan 10
ip dhcp snooping
interface FastEthernet0/1
description : Connect to PC2
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15
PC1
PC2
3560
2960

interface GigabitEthernet0/1
description : Connect to C3560_Gi0/1
switchport mode trunk
ip dhcp snooping trust
说明:本例中3560和2960同时开启了DHCP监听功能。从2960过来的DHCP请求报文是已经被插入了选
项82信息,如果将3560的Gi0/1设置为信任端口,那么插入了82选项的DHCP请求报文是允许通过的,
但不会为其建立DHCP监听绑定表。即3560上只有PC1的绑定条目,而没有PC2的绑定条目。
如果此时同时部署DAI,IPSG,由于2960不支持这两项功能,对于3560来说,从2960上过来的数
据可能存在IP欺骗和ARP欺骗等攻击,是不安全的。另一方面,由于3560没有PC2的绑定条目,而DAI
和IPSG必须依赖DHCP监听绑定表。因此如果需要在3560上再部署DAI或者IPSG,就不能将3560的
Gi0/1设置为信任端口。
但是将3560的Gi0/1口设置为非信任端口以后,默认情况下,非信任端口将会丢弃收到的插入了82
选项的DHCP请求报文。而从2960过来的DHCP请求报文又正好是被插入了选项82信息的。因此必须配
置ip dhcp snooping information option allow-untrusted命令,否则3560将丢弃这些DHCP请求报文,接在
2960上的PC2将得不到IP地址。只有配置了该命令以后,3560才会接收从2960发送的插入了选项82的
DHCP报文,并为这些信息建立绑定条目。
3560下联的Gi0/1口由于是非信任端口,默认限速为每秒15个DHCP请求报文,如果2960上的所有
PC都同时发起DHCP请求,可能此端口会被errdisable掉。这里假设2960为24口,因此简单的设置限速
为24*15=360。
2960上联的Gi0/1口必须被配置为信任端口,否则将丢弃从3560过来的DHCP应答报文,PC2将无
法得到IP地址。
C3560#show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
10
DHCP snooping is operational on following VLANs:
10
DHCP snooping is configured on the following L3 Interfaces:
Insertion of option 82 is enabled
circuit-id format: vlan-mod-port
remote-id format: MAC
Option 82 on untrusted port is allowed
Verification of hwaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface       Trusted    Rate limit (pps)
------------------------   -------    ----------------
FastEthernet0/1     no       15
GigabitEthernet0/1    no       360

C3560#show ip dhcp snooping binding
MacAddress    IpAddress   Lease(sec)   Type    VLAN    Interface
------------------   ---------------   ----------   -------------   ----   --------------------
00:0F:1F:C5:10:08 192.168.10.2  685618  dhcp-snooping  10    FastEthernet0/1
00:0BB:08:21:E0 192.168.10.3  688023  dhcp-snooping  10    GigabitEthernet0/1

C2960#show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
10
Insertion of option 82 is enabled
circuit-id format: vlan-mod-port
remote-id format: MAC
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface       Trusted    Rate limit (pps)
------------------------   -------     ----------------
FastEthernet0/1     no        15
GigabitEthernet0/1    yes      unlimited

C2960#show ip dhcp snooping binding
MacAddress   IpAddress   Lease(sec)   Type   VLAN I  nterface
------------------  ---------------   ----------   -------------  ----   --------------------
00:0BB:08:21:E0 192.168.10.3 688023  dhcp-snooping  10   FastEthernet0/1

6、多交换机环境(DHCP服务器和DHCP客户端位于同一VLAN)


环境:4503交换机自身作为DHCP服务器;PC1和PC2都位于vlan 10;
PC1接4503的gi2/1口,PC2接3560的fa0/1口;两交换机互连口是4503 gi1/1 -- 3560 gi0/1
4503交换机相关配置:
ip dhcp excluded-address 192.168.10.1
!
ip dhcp pool test
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
lease 8
!
ip dhcp snooping vlan 10
ip dhcp snooping
!
interface GigabitEthernet2/1
PC1
PC2
4503
3560
description : Connect to PC1
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15
!
interface GigabitEthernet1/1
description : Connect to C3560_Gi0/1
switchport trunk encapsulation dot1q
switchport mode trunk
ip dhcp snooping trust

3560交换机相关配置:
ip dhcp snooping vlan 10
ip dhcp snooping
interface FastEthernet0/1
description : Connect to PC2
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15

interface GigabitEthernet0/1
description : Connect to C4503_Gi1/1
switchport trunk encapsulation dot1q
switchport mode trunk
ip dhcp snooping trust
说明:本例中4503和3560同时开启了DHCP监听功能。由于4503的下联口被设置为信任端口,所以从
3560过来的DHCP请求报文即使已经被插入了选项82信息,也允许通过的,但不会为其建立DHCP监听
绑定表。所以4503上只有PC1的绑定条目,而没有PC2的绑定条目。
作为接入层交换机的3560支持DAI,IPSG,如果同时配置这两项功能,那么有理由相信从3560过
来的数据是已经经过检验的安全数据,因此将4503的下联口设置为信任端口是可行的。另外,4503没有
PC2的绑定条目,也减少了系统运行时所需的内存空间。
C4503#show ip dhcp snooping binding
MacAddress   I pAddress   Lease(sec)   Type    VLAN   Interface
------------------   ---------------   ----------   -------------   ----   --------------------
00:0F:1F:C5:10:08 192.168.10.2  685618  dhcp-snooping  10   GigabitEthernet2/1
C3560#show ip dhcp snooping binding
MacAddress      IpAddress  Lease(sec)   Type     VLAN    Interface
------------------    ---------------   ----------   -------------    ----   --------------------
00:0B:DB:08:21:E0 192.168.10.3   688023   dhcp-snooping  10   FastEthernet0/1



--------------------------------------------------------------------------------

相关文章
趣谈大数据【华为内部狂转的想象力惊人的好文】 2014/4/21 10:23:16
Cisco路由器故障诊断技术详解 2014/2/8 23:20:14
cisco交换机 端口速率限制实现实例 2013/6/21 19:11:57
TCP/UDP常见端口参考 2013/5/23 15:26:35
Cisco 交换机与路由器故障处理方法分享 2013/4/27 10:41:58
将物理数据中心向云计算迁移的四大步骤 2012/3/19 9:42:19
防恶意扫描 PortSentry保护Linux服务器 2011/10/23 13:08:21
如何创建一个用于网络监控的网络性能基线 2011/9/19 15:45:13
Cisco IOS Site-to-Site Vpn配置案例 2011/7/14 15:47:14
23道思科网络面试题及解答 2011/3/22 12:58:43
Cisco设备光模块解密方法 2010/5/20 9:57:00
安全审计自己动手 2010/4/14 11:12:19
化解网络安全风险从设置交换机开始 2010/4/5 11:57:46
如何让Cisco路由器远离DoS攻击 2010/4/5 11:53:38
NetEye防火墙与Cisco路由器的安全问题 2010/4/5 11:50:04
思科Private VLAN与Switchport Protected 2010/3/17 12:30:45
如何让Cisco路由器远离DoS攻击 2010/3/17 12:28:38
管理思科路由器的十大蠢事 2009/12/16 13:13:32
思科Private VLAN与Switchport Protected 2009/12/16 13:09:44
cisco设备大全 2009/12/16 13:08:34
Cisco交换机端口ipmac绑定 2009/7/28 12:59:09
服务器虚拟化对网络配置的影响 2009/4/21 12:56:09
思科IOS文件管理命令 2009/3/13 21:15:53
怎样使用NetFlow分析网络异常流量 2009/3/13 21:13:48
路由器崩溃故障排除 2009/2/2 12:44:19
理解掌握Cisco错误消息 2009/2/2 12:42:44
vrrp简介 2008/8/20 14:46:21
loopback具体作用 2008/8/20 14:45:14
带外网管:小成本管理大网络 2008/8/20 14:42:00
熟悉ROM Monitor维护路由器 2008/8/7 14:18:42
教你如何防范服务器缓存投毒和域名劫持 2008/7/30 16:53:23
Priority VS Bandwidth 2008/7/16 8:24:52
怎样使用NetFlow分析网络异常流量 2008/6/7 11:27:29
Cisco(思科)路由器上如何防止DDoS 2008/6/7 11:24:30
cisco ASA防火墙配置笔记 2008/6/7 11:22:48
cisco PIX防火墙的配置及注解完全手册 2008/6/7 11:21:40
EzVPN Client 完整配置 2008/6/7 11:19:48
电信运营商使用rate-limte 限制速度方法 2008/1/10 17:57:09
通过设置Cisco路由器D.D.O.S攻击手段的细节 2008/1/10 17:49:44
Cisco 2621 端口限速配置实例 2008/1/10 17:47:51
为基于类的策略选择突发数据量和超额突发数据量 2008/1/10 17:44:44
限制BT下载的QOS配置实例 2008/1/10 17:43:47
Cisco路由器上防止分布式拒绝服务(DDoS) 2008/1/10 9:07:50
NAC网络准入--整个初始化过程 2008/1/9 9:14:11
在思科路由器上确定和跟踪DoS攻击源 2007/12/24 14:38:56
Cisco路由器IOS系统升级方法总结 2007/11/19 13:53:18
交换机出现err-disable的原因及解决方法 2007/11/19 13:42:35
路由技术 利用路由器防止DoS疯狂攻击 2007/11/19 13:36:33
路由器中的内存分类 2007/9/18 14:04:26
路由技术如何利用路由器防DoS疯狂攻击 2007/9/18 14:02:03
Cisco Switching Mode Discussion(五种交换模式辨析) 2007/8/30 10:43:57
Cisco的MAC地址与IP绑定 2007/7/19 8:46:45
如何进行SPF解析-SPF是国际知名的反垃圾标准 2007/7/4 13:29:45
用Cisco IOS阻止访问特定网站具体步骤 2007/6/30 14:28:09
电信网通双出口负载分担配置指导 2007/6/30 14:24:58
Cisco PIX inside、outside和dmz之间的访问 2007/6/30 14:19:37
交换机出现err-disable原因及解决方法 2007/6/20 17:16:56
NTP网络时钟协议的实现 2007/6/6 15:43:49
AR系列路由器两种ACL匹配规则的介绍 2007/5/21 17:21:34
Cisco路由器如何防止DDoS攻击 2007/5/10 14:47:23
Cisco IOS Cookbook 中文精简版第二十七章安全 2007/5/9 10:09:28
故障检测检查表 2007/5/5 14:55:08
Cisco IOS Cookbook 中文精简版第二十四章移动IP 2007/4/3 9:02:55
Cisco IOS Cookbook 中文精简版第十七章 SNMP 2007/4/2 9:22:27
Cisco IOS Cookbook 中文精简版第十六章路由器接口 2007/4/2 9:21:05
Cisco IOS Cookbook 中文精简版第十三章拨号备份 2007/3/28 9:07:17
Cisco IOS Cookbook 中文精简版第十二章隧道和VPN 2007/3/28 9:06:30
Cisco IOS Cookbook 中文精简版第十章 帧中继 2007/3/28 9:02:55
Cisco IOS Cookbook 中文精简版第八章OSPF 2007/3/28 9:00:40
Cisco IOS Cookbook 中文精简版第二章路由器管理 2007/3/28 8:54:38
Cisco IOS Cookbook 中文精简版第一章路由器配置和文件管理 2007/3/28 8:53:46
Catalsty 4908G-L3 VLAN间的路由和桥接 2007/3/14 8:55:01
JUNOS、IOS、VRP对比 2007/3/7 12:27:38
Cisco 3550速率限制的详细配置过程 2007/1/24 8:46:39
VLAN之间ACL和VACL的区别 2007/1/24 8:43:59
加速cisco交换机初始化过程 2006/12/27 9:20:45
Cisco交换机接口模式精解 2006/12/25 9:47:10
让路由器成为你防范的堡垒 2006/12/14 13:58:13
mpls vpn故障排除 2006/12/11 10:57:08
Cisco交换机接口模式精解 2006/12/11 10:55:30
镜像端口建立方法 2006/12/11 10:54:50
L2与L3 VPN的详细介绍与对比 2006/12/4 16:54:19
新一代网络安全接入技术对比分析 2006/12/4 16:40:41
IP网限制p2p应用流量的qos策略 2006/12/4 12:55:03
理解Cisco错误消息 2006/11/28 9:14:05
Cisco 路由器语句汇总 2006/11/28 9:12:36
IP网限制p2p应用流量的qos策略 2006/11/27 15:06:01
使用Cisco命令阻止访问特定网站 2006/11/14 8:26:00
基于路由器网络诊断步骤和故障排除技巧 2006/11/14 8:24:45
论广播风暴的成因、预防及排障 2006/11/14 8:23:37
解决实际维护网络过程故障的五个盲点 2006/11/10 9:00:29
分析CISCO与华为3COM路由器配置差别 2006/10/31 8:27:54
思科站点大集合 2006/10/31 8:26:52
Cisco IOS防火墙的安全规则和配置方案 2006/10/28 10:07:06
交换机出现err-disable的原因及解决方法 2006/10/28 10:00:22
排除路由器崩溃故障 2006/10/28 9:59:03
三层交换机技术中常提到的TRUNK 2006/10/28 9:57:02
Catalyst 4006交换机的配置实例 2006/10/28 9:56:03
Cisco防火墙技术汇总 2006/10/28 9:50:56
抵御DDoS攻击 2006/10/28 9:46:05
帧中继故障的诊断与排除 2006/10/16 11:12:00
用命令行在设备上查看机框序列号 2006/10/10 12:59:24
保护路由器的十四招 2006/9/27 17:33:41
MAC地址的访问控制 2006/9/13 19:28:58
VRF Selection using by source ip 2006/9/13 19:25:53
华为Display interface的显示信息详解 2006/9/13 19:21:44
交换机接口出现err-disable的几个常见原因 2006/9/13 19:17:58
针对目前出现的ARP欺骗攻击行为,提出Cisco的解决方案 2006/8/30 16:33:25
六大步骤顺利排除计算机网络连接故障 2006/8/29 10:37:25
华为Display interface的显示信息详解 2006/8/28 13:01:16
配置思科三层交换的综合案例 2006/8/9 17:07:03
Catalyst 4006交换机的配置实例 2006/8/9 17:01:46
网络路由安全攻防对策分析及实践 2006/8/8 18:55:12
核心网络设备配置及参数如何备份 2006/8/8 18:53:00
配置cisco vpn client使用scep从ios router ca获取证书 2006/8/4 7:46:25
NAT+DHCP+HSRP+ACL+NTP配置实例 2006/8/4 7:02:10
解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法 2006/8/4 7:00:32
用ACL构建防火墙体系 2006/8/2 14:43:20
Cisco 网际操作系统(IOS)命名规范(图) 2006/8/2 14:33:02
Cisco实战:配置三层交换的综合案例 2006/8/2 14:30:15
网络故障处理手册 2006/7/25 14:09:43
设置交换机span以进行侦听 2006/7/22 17:24:20
交换机升级排障 2006/7/18 17:57:24
Cisco配置手记 2006/7/17 10:08:27
ASA 5520配置例子 2006/7/14 9:47:04
思科路由器全局、接口、协议调试 2006/7/14 9:45:18
Cisco路由器故障诊断技术(重新编辑) 2006/7/14 9:42:38
关于IP-MAC绑定的交换机设置 2006/7/14 9:41:11
如何使用Cisco IOS文件系统命令 2006/7/13 8:14:53
rate-limit 使用方法 2006/7/11 14:50:13
用Xmodem的方式升级IOS 2006/7/10 14:27:22
Cisco交换机POST过程排错 2006/7/4 19:51:10
交换机 VLAN配置基础及实例 2006/7/4 19:48:33
轻松玩转Cisco路由器密码 2006/7/4 19:22:38
路由器默认密码 2006/6/28 23:05:49
路由器交换机配置信息及口令的清除 2006/6/28 23:01:47
用snort和空IP做一个安全的log纪录服务器 2006/6/17 11:09:10
工作中处理交换机频繁吊死故障实例 2006/6/13 8:41:14
在Cisco交换机上实现隔离访问 2006/6/13 8:36:02
多VLAN环境下DHCP服务的实现 2006/6/12 9:12:24
路由器网络接口字段详细解析 2006/6/12 9:09:43
小议TCP的MSS(最大分段)以及MTU 2006/6/9 21:06:48
一些有关网络的故障案例 2006/6/9 20:36:48
入侵检测系统逃避技术和对策的介绍 2006/6/7 9:25:12
网络流量监控的常用方法 2006/6/3 12:47:41
MPLS-VPN的最佳解决方案 2006/6/3 12:43:30
MPLS VPN 路由器与交换机选购指南 2006/5/30 14:27:52
思科路由器常用配置命令大全(A-X) 2006/5/29 9:21:21
TRUNK”的三个意思,不要混淆 2006/5/29 9:19:29
NetFlow交换及其在网络管理中的应用 2006/5/28 17:22:00
网络安全讲座之八:审计结果 2006/5/24 19:46:24
网络安全讲座之七:IDS系统 2006/5/24 19:45:52
网络安全讲座之六:侦察与工具 2006/5/24 19:43:53
Cisco VPN连接配置实例 2006/5/24 11:36:31
网络专业人士笔记 2006/5/22 10:06:48
用Cisco产品和功能构建安全的网络 2006/5/10 10:37:05
三层MPLS VPN及其故障处理 2006/5/8 19:45:11
路由器网络服务安全配置 2006/5/8 19:37:22
vsftp配置大全 2006/5/6 18:17:32
防黑全攻略——端口扫描技术 2006/4/30 13:24:46
在Cisco设备上实现IOS DHCP Server的功能 2006/4/30 12:31:15
RFC2328 OSPF V2 中文版 2006/4/27 20:40:32
透视网络管理技术 (网络管理、网络维护) 2006/4/6 20:01:31
负载均衡技术的三种实现方法 2006/4/6 19:53:21
基于路由器的网络诊断技术 2006/4/6 19:35:16
网络故障诊断初探 2006/4/6 19:27:33
网络分析监听技术之原理、应用与防范 2006/4/6 19:22:39
向P2P通信宣战(关于封BT下载软件) 2006/4/4 8:07:19
边界网关协议版本4(BGP-4) RFC1771 2006/3/30 22:30:28
故障检测检查表 2006/3/30 22:09:03
基于MPLS的流量工程要求(RFC2702) 2006/3/30 21:57:05
MPLS标记栈编码(RFC3032) 2006/3/30 21:54:27
IP VPN的框架体系(RFC2764) 2006/3/30 21:52:32
BGP团体属性(RFC1997) 2006/3/30 21:51:35
BGP路由反射(RFC2796) 2006/3/30 21:51:06
BGP MPLS VPNs(RFC2547) 2006/3/30 21:50:22
典型局域网多VLAN配置实例 2006/3/28 13:12:03
利用Catalyst交换机防范蠕虫病毒 2006/3/28 13:00:21
cisco四种类型的网络防火墙技术汇总 2006/3/20 12:59:53
在Cisco交换机上实现隔离访问 2006/3/20 12:55:26
让路由器远离字典DoS攻击 2006/3/8 11:21:00
策略路由概览 2006/3/8 11:15:41
802.1x:老根发新芽 2006/3/8 10:55:52
配置示例:Catalyst与 CatOS 交换机之间的 ISL/802.1q 中继 2006/3/7 9:32:13
用route map实现多ISP Internet接入工程实例 2006/3/6 8:39:09
配置三层交换的综合事例 2006/3/6 8:36:39
Cisco交换机集群技术 2006/3/1 8:39:10
排除路由故障 2006/3/1 8:37:26
访问控制列表使用原则 2006/3/1 8:34:49
常用品牌交换机端口镜像(Port Mirroring)配置 2006/2/23 14:08:02
Catalyst3550的三层交换与VLAN 2006/2/14 15:24:44
Cisco产品采用的网络协议总结 2006/1/12 14:15:24
Cisco Catalyst 2950 配置-实现端口与IP的绑定 2006/1/9 8:56:17
auto secure命令的使用 2006/1/4 13:48:11
用Cisco产品和功能构建安全的网络 2006/1/4 13:46:58
Cisco Catalyst 2950 配置-实现端口与IP的绑定 2005/12/25 14:51:46
关于IP-MAC绑定的交换机设置 2005/12/13 14:48:09
Cisco IOS访问列表的应用 2005/11/26 20:17:04
Cisco IOS进程调试 2005/11/26 20:15:38
掌握Cisco IOS测试命令的多种用法 2005/11/26 20:13:12
Cisco IOS命名规则 2005/11/26 20:11:25
Configuring Dynamic VLANs 2005/11/24 14:05:15
Catalyst5500交换机 VLAN设置 2005/11/24 10:25:33
思科IOS 12.3新特性 2005/11/21 9:32:14
《网络基础学习之二十》路由器的配置 2005/11/11 10:03:00
《网络基础学习之十九》路由器的硬件连接 2005/11/11 10:01:42
《网络基础学习之十八》主要路由器技术 2005/11/11 10:00:42
《网络基础学习之十七》路由器原理、分类和选购 2005/11/11 9:59:28
《网络基础学习之十六》路由器基础 2005/11/11 9:58:20
《网络基础学习之十五》交换机VLAN的配置 2005/11/11 9:57:10
《网络基础学习之十四》交换机配置全接触 2005/11/11 9:56:00
《网络基础学习之九》集线器的安装与连接 2005/11/11 9:48:54
《网络基础学习之六》初识网络体系结构与协议 2005/11/11 9:42:59
VPN实例配置方案-中文注解 2005/11/5 21:42:09
IPSEC 安全架构、应用及展望 2005/11/5 20:58:28
用ACL构建防火墙体系 2005/11/4 11:16:35
华为路由器与CISCO路由器在配置上的差别 2005/11/3 14:40:32
以太网络建立多个VLAN典型案例 2005/11/3 14:32:24
系统入侵者攻击企业或敏感数据网络方法白皮书 2005/10/11 10:52:53
AAA之配置授权 2005/9/20 15:20:29
Cisco ios 软件的安装升级方法 2005/9/20 14:09:04
VPN 配置之一:vpn access server 2005/9/7 16:33:42
Cisco 路由器 VPN典型配置 2005/9/7 16:08:09
负载均衡技术全攻略 2005/8/19 8:33:25
思科认证的36个热门考点 2005/8/11 14:16:05
网络使用的学习总结 2005/8/10 8:27:09
一块网卡绑定多IP与多网卡使用一个IP 2005/8/8 9:38:37
如何利用Catalyst交换机及时发现、追踪和缓解蠕虫病毒的入侵? 2005/8/4 13:31:23
CISCO交换机的数据监控 2005/8/4 13:00:36
在Catalyst 2948G-L3交换机上使用BVI配置IP上行链路重定向功能 2005/8/4 12:58:24
Cisco交换机实现端口安全的方法及事项 2005/8/4 12:54:23
Cisco路由器的备份配置方法 2005/8/4 12:53:32
路由选择原理 2005/8/4 12:49:14
How to Determine Which Switch and Port You are Connected To 2005/7/28 8:34:13
基于路由器网络诊断步骤和故障排除技巧 2005/7/25 10:13:25
利用Catalyst交换机防范蠕虫病毒的入侵 2005/7/8 8:32:43
3种方法封锁BT下载 2005/6/28 10:26:26
CCNP-CIT中文笔记 完整版 2005/6/24 15:31:49
用NBAR来防止红色代码(Code Red)和尼姆达(Nimda)蠕虫病毒 2005/6/22 10:13:20
细讲解第三层交换技术 2005/6/22 8:16:10
路由器(Router)原理介绍 2005/6/22 7:58:05
交换机(Switch)工作原理 2005/6/22 7:57:16
网络流量监控器mrtg全攻略 2005/6/17 15:03:36
流量检测的几种方案 2005/6/17 14:59:54
教你识别思科交换机型号 2005/6/11 21:49:53
多个网卡绑定一个IP地址(bonding) 2005/6/10 21:18:12
如何删除IOS--CISCO IFS简介 2005/6/10 21:05:56
软件vpn与硬件的优势对比 2005/6/3 12:14:03
把linux配置成pix 的日志主机 2005/6/3 12:07:51
通俗易懂的《路由和交换》 2004/11/19 9:24:31
CCNA考试命令集 2004/11/9 10:47:49
如何配置Cisco PIX防火墙 2004/11/9 10:11:50
Cisco常见配置 2004/11/9 10:04:39
各种交换机的镜像配置(cicsoc、华为、3com、Avaya、Intel) 2004/11/9 9:55:40
多个网卡绑定一个IP地址(bonding) 2004/10/19 8:41:07
系统安全名词列表(2) 2004/10/8 9:40:16
系统安全名词列表(1) 2004/10/8 9:38:02
华为、Intel与Cisco的交换机产品使用感受 2004/9/13 8:29:36
配置三层交换的综合范例 2004/9/1 11:20:39
怎样在Cisco设备上实现IOS DHCP Server的功能 2004/9/1 11:19:27
show controller e1(带注释) 2004/8/29 12:32:50
常见的CatcOs错误消息在Cisco Catalyst 交换机 2004/8/29 12:29:00
配置和排除以太网10/100/1000Mb Half/Full双工自动协商故障 2004/8/29 12:23:23
CISCO的快速转发 2004/8/29 12:19:05
4000 6500交换引擎配置方法. 2004/8/29 12:04:24
29&3548配置方法 2004/8/29 12:02:51
网络流量监控器mrtg全攻略 2004/8/21 10:14:35
CISCO交换机的数据监控 2004/8/19 15:07:34
深入浅出了解交换机是怎么工作的 2004/8/16 8:21:07
让路由器成为你防范的堡垒 2004/8/13 12:54:21
Cisco路由器及交换机安全加固 2004/8/13 12:51:44
Cisco路由器的安全配置简易方案 2004/8/10 12:28:09
Cisco 路由配置语句汇总 2004/8/10 12:26:42
CCNA专业词汇全集 2004/8/10 7:50:25
计算机端口介绍[详细列表] 2004/8/9 8:02:50
路由器NAT功能配置简介(知识点讲解,bsci必考) 2004/7/27 17:11:46
CISCO网络安全 2004/7/26 8:42:25
根据ip地址查交换机端口 2004/7/23 10:16:41
路由器测试的类型和方法 2004/7/23 10:04:30
CIT中文笔记 2004/7/15 11:52:42
Cisco路由器及交换机安全加固 2004/7/14 16:21:36
交换机口令恢复的步骤 2004/7/9 10:09:20
三层MPLS VPN及其故障处理 2004/7/1 13:08:35
Cisco路由器的安全配置简易方案 2004/6/10 16:47:41
CISCO路由器基于时间的访问列表的应用 2004/6/10 16:44:06
cisco 未公开的命令 2004/6/7 8:00:17
根据IP查端口 2004/6/1 8:50:32
CISCO部分命令全集 2004/5/27 14:03:51
Cisco路由器故障诊断技术 2004/5/26 14:16:19
使用路由器作流量检测的几个手段 2004/4/9 13:17:44
用xmodem重新快速灌IOS- 2004/2/27 14:01:52
CCIE之建立详细的故障检测检查表 2004/2/26 8:59:12
网络端口及其详解分页 2004/2/17 9:03:12
100分钟教你配CISCO RIP 2004/2/11 8:18:25
在接入服务器上使用Cisco IOS DHCP服务器 2004/2/4 8:31:10
Cisco路由器由Windows 2000 CA中心登记证书 2004/2/4 8:30:02
如何升级软件 图像在Catalyst 交换机第三层模块 2004/2/4 8:27:28
安全的log纪录服务器 2004/1/24 19:17:43
CCNP路由部分精华 2004/1/6 11:10:54
-- E1知识点总结 -- 2004/1/6 10:30:00
LINUX新手入门及安装配置faq200(下) 2003/12/31 20:54:57
用route map实现多ISP Internet接入工程实例 2003/12/31 9:19:10
cisco3640路由器设置(祥) 2003/12/27 20:43:07
在CISCO设备上用FTP传IOS文件 2003/12/27 1:31:14
SSH在Cisco设备上设置实例 2003/12/20 23:29:24
CCNP课堂---交换(Switch)篇 2003/12/2 10:45:32
Cisco路由器故障诊断技术 2003/12/2 10:37:30
用 Linux 打造路由器 2003/11/25 9:55:06
switch命令大全 2003/11/25 9:06:50
组播协议和组播路由 2003/11/19 10:41:40
Cisco路由器的安全配置简易方案 2003/11/11 8:05:48
IS-IS路由协议学习总结 2003/11/4 9:53:23
局域网交换机维护 2003/11/3 8:45:18
通过设置Cisco路由器防止分布式D.O.S攻击手段的细节 2003/10/30 16:56:20
CatOS下定义VLAN 2003/10/23 14:54:21
Cisco路由器是怎样被攻陷的------SolarWinds2002的简单使用 2003/10/23 10:42:37
Switching 命令大全 2003/10/13 17:59:51
路由器故障解决 2003/9/17 8:26:49
关于路由器cpu利用率过高的解决 2003/9/9 10:43:07
网络层访问权限控制技术 ACL详解 2003/9/9 8:49:02
CISCO 技术大集合 2003/9/8 7:46:34
SSH实现Cisco路由器登录 2003/9/8 7:39:57
最佳的75个安全工具 2003/9/5 15:18:38
某大型企业局域网安全解决方案 2003/9/2 9:14:09
常见端口表汇总 2003/9/1 10:31:24
新版CCNA 640-801考试IOS命令大全(ZT) 2003/8/27 17:39:13
Catalyst5500交换机 VLAN设置 2003/8/26 10:54:04
局域网实现VLAN实例 2003/8/15 10:37:16
Redhat advance server 2.1集群的安装与管理 2003/8/12 8:21:31
双机热备的全面配置示例 2003/8/6 14:45:05
用 Linux 打造路由器 2003/8/5 7:33:33
Cisco 路由配置语句汇总 2003/7/31 9:08:50
网络词汇大全 2003/7/31 8:45:22
思科产品常见问题一百问 2003/7/30 14:17:30
系统安全名词列表 2003/7/29 10:27:02
4006交换机(IOS版)简明配置维护手册 2003/7/28 18:02:12
CISCO配置命令大全 2003/7/28 17:58:33
基于路由器的网络诊断 2003/7/28 17:57:02
CISCO交换机概览 2003/7/28 15:14:40
Cisco路由器的安全配置简易方案 2003/7/19 19:08:47
Cisco 路由配置语句汇总 2003/7/14 16:59:32
网络工程师必懂的专业术语 2003/7/14 16:54:43
网络流量监控器mrtg全攻略 2003/7/14 9:37:34
Switching 命令大全-转 2003/7/13 19:06:01
路由器故障解决 2003/7/13 19:05:03
[精华手册]CISCO路由器配置手册 2003/7/13 19:01:40
虚拟局域网(VLAN)路由实例 2003/7/13 19:00:04
XX校校园网实现(VLAN及策略路由的实现) 2003/7/13 17:53:32
转载cisco3524的管理vlan配置 2003/7/11 22:16:09
在win2000中使用mrtg进行实时流量监测 2003/7/11 22:14:10
路由的中文笔记 2003/7/8 12:22:30
Cisco路由器的安全配置简易方案 2003/7/2 9:03:54
电脑书籍下载网站集锦 2003/6/27 8:18:43
局域网中代理服务器、路由器的配置案例 2003/3/23 21:47:36
某大型企业局域网安全解决方案 2003/3/17 22:44:09
某大型局域网安全解决方案 2003/2/21 22:13:18
理解防火墙及防火墙实例系列: 第一部分 防火墙基本类型、概念以及各类防火墙的主要优缺点 2003/1/12 15:45:24


感性空间
设计&运维
网络技术
休闲娱乐
NetFilter
linux&Unix
网络安全
程序空间
软件考试
RFC&ISO
规划&规范
虚拟&存储
Apple技巧
云计算&大数据



文章搜索



站内搜索