جلوگیزی از راه اندازی dhcp توسط همکاران
سلام ، خدمت همه عزیزان
من یک فورتی گیت دارم که هم به کلاینها و سرورها ، IP میده.میخوام کاری کنم که تمامی تجهیزات فقط از فورتی گیت و dhcp مربوط به vlan خودشان ip بگیرن و اگر شخصی Dhcp راه اندازی کرد در شبکه ، سیستمها دچار مشکل نشوند و از dhcp که من برایشان تعریف کردم استفاده کنند.
میدونم باید از دستور ip helper-address استفاده کنم اما کجا باید این دستور را وارد کنم و بر روی کدام پورت نمیدونم.ممنون میشم راهنماییم کنید.
تجهیزاتی که دارم به شرح زیر است و ارتباط بین سوییچها و فورتیگیت trunk می باشد :
سوییچ لایه 3 : core
سوییچ لایه 3 : distributed
سوویچ لایه 2 : access
باتشکر
8 پاسخ
سپاس از شما آقای پورخیری و آقای آذرگون
آیا برای سوییچ لایه core و distribut راه اندازی DHCP Snooping پیشنهاد می دهید؟؟
خیلی ممنونم از شما آقای آذرگون
با سلام
شما اگه گیت وی سیستم هاتون سوئیچ core هستش باید در interface vlan مربوطه ip helper-address بزنین اگر هم روتر هستش باید در sub interface دستور مربوطه رو وارد کنین.
اگر زیر ساخت سیسکو دارین دستورات به این صورت هستش:
sw:
interface vlan 10
ip address 192.168.10.1 255.255.255.0
ip helper-address "dhcp ip"
router:
int gig 0/0.10
encapsulation dot1q 10
ip address 192.168.10.1 255.255.255.0
ip helper-address "dhcp ip"
در صورتی هم که میخواین کسی نتونه dhcp server روی پورت های access ران کنه باید قابلیت DHCP Snooping رو فعال کنین.
شما در dhcp snooping میگین که کاربر نتونه dhcp سرور ران کنه و قاعدتا کاربر به سوئییچ access شما وصله پس روی همین سوییچ فعال میکنیم. به این صورت که فقط پورت های trunk را تراست می کنیم.
به این صورت در پورت های access پکت های DHCP Offer، DHCP ACK دور ریخته میشوند.
کانفیگ:
ip dhcp snooping
ip dhcp snooping vlan [id]
no ip dhcp snooping information option
int gig0/1
ip dhcp snooping trust
خواهش میکنم آقای کرابی
ممنونم از راهنماییتون
دوست عزیزمون آقای آذرگون درست میگن ولی برای جلوگیری از راه اندازی dhcp توسط کاربرها باید روی سوییچ های اکسس dhcp snooping راه اندازی کنید