Mình có dùng Switch Layer 3 - 3750 làm edge switch. Vì mình đã test trên hệ thống Lab thành công nhưng khi apply cho toàn bộ hệ thống mạng của mình ( có Switch 3750 làm Distribution Switch và Switch 6500 làm Core Switch). Hơn nữa hệ thống mạng của công ty mình là rất lớn có tới gần 100 Vlan. Dĩ nhiên là lúc này đã config VTP domain rồi.
Lạ 1 điều là mình test đi test lại vẫn xuất hiện 1 lỗi như sau:
- Khi apply code: ip dhcp Snooping Vlan 1 1005 trên tất cả các Switch ( cụ thể gồm cả trên Switch có DHCP giả mạo) thì mới cấm được DHCP giả mạo theo ý mình nhưng trên các Switch Client khác ngay lập tức sẽ ko lấy được IP của DHCP thật. Client chỉ lấy được IP từ DHCP thật khi: trên Switch nối vào Client bỏ Vlan của Client đó.
VD: Client nối với Port 4 Switch C có số VLan là 5 thì chúng ta fải code trên Switch C như sau: ip dhcp snooping Vlan 1 4
ip dhcp snooping Vlan 6 1005
Sau khi code như vậy thì mới đảm bảo đựoc rằng Client ko lấy được IP từ DHCP giả mạo mà chỉ lấy được từ DHCP thật.
Không biết còn fải config DHCP relay agent gì nữa không để Client vẫn lấy được IP từ DHCP thật
Nhưng như vậy thì trên 1 Switch Client giả sử 24 port tương ứng với 24 Vlan mà mình Apply như vậy thì toi và cũng không đảm bảo bài toán.
Trên đay là những gì mình đã thực hiện khi apply DHCP snoopng vào hệ thống thật của công ty mình. Mong các bạn giả đáp thắc mắc này giùm mình.
Thanks!
Lạ 1 điều là mình test đi test lại vẫn xuất hiện 1 lỗi như sau:
- Khi apply code: ip dhcp Snooping Vlan 1 1005 trên tất cả các Switch ( cụ thể gồm cả trên Switch có DHCP giả mạo) thì mới cấm được DHCP giả mạo theo ý mình nhưng trên các Switch Client khác ngay lập tức sẽ ko lấy được IP của DHCP thật. Client chỉ lấy được IP từ DHCP thật khi: trên Switch nối vào Client bỏ Vlan của Client đó.
VD: Client nối với Port 4 Switch C có số VLan là 5 thì chúng ta fải code trên Switch C như sau: ip dhcp snooping Vlan 1 4
ip dhcp snooping Vlan 6 1005
Sau khi code như vậy thì mới đảm bảo đựoc rằng Client ko lấy được IP từ DHCP giả mạo mà chỉ lấy được từ DHCP thật.
Không biết còn fải config DHCP relay agent gì nữa không để Client vẫn lấy được IP từ DHCP thật
Nhưng như vậy thì trên 1 Switch Client giả sử 24 port tương ứng với 24 Vlan mà mình Apply như vậy thì toi và cũng không đảm bảo bài toán.
Trên đay là những gì mình đã thực hiện khi apply DHCP snoopng vào hệ thống thật của công ty mình. Mong các bạn giả đáp thắc mắc này giùm mình.
Thanks!
Comment