科技瘋不落

在網段中，如果不小心打開了
"寬頻分享器" (Cheap， SOHO， Broadband Router) DHCP Server 功能。
通常這些 DHCP
服務預設都是打開的，而且都是 192.168.1.0/24 這個網段。所以這些怪怪的 IP 位址， 通常都是類似這樣 :
192.168.1.X。
整個網段, 通常會"部分取得正確, 部分取得錯誤".
Cisco 2950 以上的 Switch 支援
DHCP Snooping 功能，只要啟動這個功能，不管再有誰做這種事，也不會發生錯誤取得IP位址的問題!
DHCP Snooping
的原理簡單的來說，Switch 會監看 DHCP 的活動，就是只允許指定的部分 Switch Port 放行
DHCP伺服器的回應封包，其他的一律不准。
所以只會取得指定 Server 回應的 DHCP 內容。
CISCO
交換機可攔截來自不信任埠口的 DHCP 要求，任何來自不信任埠口之 DHCP 封包將被丟棄。進入errdisable狀態。
在收到合法回應
時，並可記錄已完成的 DHCP 資訊庫，內有 MAC位置 / IP位置 / 租用時間 等等資訊。
注意: 有一點很重要, 如果 DHCP
Server 不是接在本 Switch 時, Uplink port 就必須要允許 DHCP Server 回應，不然整台 Switch 上的
PC 都會收不到動態的 IP位址資訊!
另外, 因為設定過程會影響 DHCP 運作, 建議最好是在離峰時間再啟動這個功能!
以
下是一般的設定:
! Global，啟動 DHCP Snooping，這行一定要。
 ip dhcp
snooping
! 假設只對 VLAN 100 和 VLAN 200 作 DHCP 設限，
這行也一定要，可以是單一 vlan，也可以是一個 range x-x"
 ip dhcp snooping vlan
100 200
! DHCP Server 埠，或是 Uplink，這邊是重點所在，不然會全部都收不到!

interface GigabitEthernet0/1
  ip dhcp trust
!
一般使用者埠，這是預設值，可以不用下，啟動 DHCP Snooping 後，預設所有埠口為不信任狀態。
 interface
FastEthernet 0/1
  no ip dhcp trust
! 針對不信任埠口，可以限制
DHCP 封包流量速率。使用下列指令:
 ip dhcp snooping limit rate
"流量,1-4294967294 / 封包"
! 倘若在不信任埠口偵測到 DHCP 要求，交換機可把本身
MAC / 交換埠識別字 加入到該封包的 選項82 之下。
  使其可以順利的到達可信任的 DHCP
伺服器。此功能預設啟用。可以使用以下指令控制:
 [no] ip dhcp snooping information
option
! DHCP SNOOPING 檢查指令，如果後面加上 bining
字串，將可顯示所有已被監聽到且儲存在交換機裡的 DHCP 租用狀況。
show ip dhcp snooping [binding]

QOS設定

      一、網路說明
　　
　　PC1 Cisco3550
F0/1上，速率為1Ｍ；
　　
　　PC2 Cisco3550 F0/2上，速率為2Ｍ；
　　
　　Cisco3550的
G0/1為出口。
　　
　　二、詳細配置過程
　　
　　ex：每個介面每個方向只支援一個policy；一個policy可
以用於多個介面。因此所有PC的下載速率的限制都應該定義在同一個policy(本例當中為policy-map
user-down)，而PC不同速率的區分是在Class-map分別定義。
　　
　　1、在switch上啟動QOS
　　
　
　Switch(config)#mls qos
　　
　　２、定義PC1(10.10.1.1)和PC2(10.10.2.1)ACL
　
　
　　Switch(config)#access-list 10 permit 10.10.1.0 0.0.0.255
//控制pc1上傳流量
　　Switch(config)#access-list 100 permit any 10.10.1.0
0.0.0.255 //控制pc1下載流量
　　Switch(config)#access-list 11 permit
10.10.2.0 0.0.0.255 //控制pc2上傳流量
　　Switch(config)#access-list 111
permit any 10.10.2.0 0.0.0.255 //控制pc2下載流量
　　
　　３、ACL binding
　
　
　　Switch(config)# class-map user1-up
　　Switch(config-cmap)#
match access-group 10
　　Switch(config-cmap)# exit
　　
Switch(config)# class-map user2-up
　　Switch(config-cmap)# match
access-group 11
　　Switch(config-cmap)# exit
　　Switch(config)#
class-map user1-down
　　Switch(config-cmap)# match access-group 100
　
　Switch(config-cmap)# exit
　　Switch(config)# class-map user2-down
　
　Switch(config-cmap)# match access-group 111
　　Switch(config-cmap)#
exit
　　
　　4、定義policy
　　
　　Switch(config)# policy-map
user1-up //PC１上傳的速率為1M
　　Switch(config-pmap)# class user1-up
　　
Switch(config-pmap-c)# trust dscp
　　Switch(config-pmap-c)# police
1024000 1024000 exceed-action drop
　　Switch(config)# policy-map
user2-up //PC２上傳的速率為2M
　　Switch(config-pmap)# class user2-up
　　
Switch(config-pmap-c)# trust dscp
　　Switch(config-pmap-c)# police
2048000 1024000 exceed-action drop
　　Switch(config)# policy-map
user-down
　　Switch(config-pmap)# class user1-down
　　
Switch(config-pmap-c)# trust dscp
　　Switch(config-pmap-c)# police
1024000 1024000 exceed-action drop
　　Switch(config-pmap-c)# exit
　
　Switch(config-pmap)# class user2-down
　　Switch(config-pmap-c)# trust
dscp
　　Switch(config-pmap-c)# police 2048000 1024000 exceed-action
drop
　　Switch(config-pmap-c)# exit
　　
　　５、在介面上運用policy
　　
　
　Switch(config)# interface f0/1
　　Switch(config-if)# service-policy
input user1-up
　　Switch(config)# interface f0/2
　　
Switch(config-if)# service-policy input user2-up
　　Switch(config)#
interface g0/1
　　Switch(config-if)# service-policy input user-down