DHCP Snooping讲解
DHCP Snooping時(shí)DHCP的一種安全特性,用于保證DHCP客戶端從合法的DHCP服務(wù)器獲取IP地址,并記錄DHCP客戶端IP地址與MAC地址等參數(shù)的對應(yīng)關(guān)系,防止網(wǎng)絡(luò)上針對DHCP攻擊
通過配置信任端口和非信任端口來實(shí)現(xiàn)安全防護(hù)
信任接口
正常接收DHCP服務(wù)器響應(yīng)的DHCP ACK、DHCP NAK和DHCP Offer報(bào)文
設(shè)備只會(huì)將DHCP客戶端的DHCP請求報(bào)文通過信任接口發(fā)送給合法的DHCP服務(wù)器。
非信任接口
在接收到DHCP服務(wù)器響應(yīng)的DHCP ACK、DHCP NAK和DHCP Offer報(bào)文后,丟棄該報(bào)文
DHCP Snooping綁定表
設(shè)備根據(jù)收到的DHCP ACK報(bào)文,建立DHCP Snooping綁定表
此表包含客戶端的IP地址、客戶端的MAC地址、客戶端的Vlan、客戶端所在接口等信息
DHCP Snooping綁定表可以根據(jù)DHCP租期自行老化,也可以根據(jù)DHCP Release報(bào)文刪除對應(yīng)表項(xiàng)
注意事項(xiàng)
在DHCP中繼使能DHCP Snooping場景下,DHCP Relay設(shè)備不需要設(shè)置信任端口
因?yàn)镈HCP Relay設(shè)備是以單播的形式向DHCP服務(wù)器請求IP地址的,所以Relay設(shè)備收到的ACK報(bào)文都是合法的
配置DHCP Snooping
正常配置DHCP服務(wù)器1,通過全局地址池的方式分配地址
PC1屬于Vlan1(即LSW1上不需要做Vlan相關(guān)配置)
必選配置
開啟DHCP(開啟DHCP后才可以配置DHCP Snooping)
dhcp enable
開啟IPv4的DHCP Snooping
dhcp snooping enable ipv4??
接口開啟DHCP Snooping并配置信任端口
interface Ethernet0/0/1?? 與服務(wù)器相連端口
?dhcp snooping enable?? 開啟DHCP Snooping
?dhcp snooping trusted?? 配置端口為信任端口
interface Ethernet0/0/2??? 與客戶端相連端口
?dhcp snooping enable
可選配置
配置當(dāng)用戶下線后刪除本地綁定表
dhcp snooping user-offline remove mac-address?
配置ARP與DHCP Snooping聯(lián)動(dòng)
arp dhcp-snooping-detect enable?
在Vlan1內(nèi)配置DHCP Request檢查(防止攻擊者仿冒用戶的DHCP Request報(bào)文)
dhcp snooping check dhcp-request enable vlan 1?
查看DHCP Snooping綁定表
總結(jié)
以上是生活随笔為你收集整理的DHCP Snooping讲解的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Unity_移动端安卓解压缩Zip
- 下一篇: 初中计算机应用微课的教学设计,信息技术微