DHCP Snooping的介绍和配置

网络 网络管理
下面我们主要阐述了DHCP Snooping技术的相关内容。对它进行了简单的介绍,以及配置等内容进行了分析。

应该有不少朋友知道关于DHCP Snooping技术的内容。那么也有不少朋友对于这部分内容还不了解。那么这里我们就针对DHCP Snooping来详细讲解一下。

1 介绍

DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息.

当交换机开启了DHCP Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。

作用:

1.DHCP Snooping的主要作用就是隔绝非法的dhcp server,通过配置非信任端口。

2.建立和维护一张DHCP Snooping的绑定表,这张表一是通过dhcp ack包中的ip和mac地址生成的,二是可以手工指定。这张表是后续DAI(dynamic arp inspect)和IP Source Guard 基础。这两种类似的技术,是通过这张表来判定ip或者mac地址是否合法,来限制用户连接到网络的.

2 配置

switch(config)#ip dhcp snooping

switch(config)#ip dhcp snooping vlan 10

switch(config-if)#ip dhcp snooping limit rate 10

/*dhcp包的转发速率,超过就接口就shutdown,默认不限制

switch(config-if)#ip dhcp snooping trust

/*这样这个端口就变成了信任端口,信任端口可以正常接收并转发DHCP Offer报文,不记录ip和mac地址的绑定,默认是非信任端口"

switch#ip dhcp snooping binding 0009.3452.3ea4 vlan 7 192.168.10.5 interface gi1/0/10

/*这样可以静态ip和mac一个绑定;

switch(config)#ip dhcp snooping database tftp:// 10.1.1.1/dhcp_table

/*因为掉电后,这张绑定表就消失了,所以要选择一个保存的地方,ftp,tftp,flash皆可。本例中的dhcp_table是文件名,而不是文件夹,同时文件名要手工创建一个

责任编辑:佟健 来源: hi.baidu.com
相关推荐

2010-08-31 10:17:14

2010-08-31 17:01:31

dhcp snoopi

2010-09-02 14:39:34

2010-09-26 14:52:22

DHCP Snoopi

2010-09-01 09:26:08

2010-09-01 09:31:15

2010-09-27 10:40:21

DHCP Snoopi

2010-09-01 15:32:02

DHCP Snoopi

2010-09-27 12:37:55

3750配置DHCP

2010-09-01 16:03:51

DHCP Snoopi

2010-08-30 09:56:09

IP dhcp sno

2011-03-09 15:01:30

DHCP-snoopiDHCP

2010-09-01 15:53:51

DHCP snoopiMAC

2010-08-31 10:25:31

2010-09-06 14:46:43

2010-08-30 09:15:37

DHCP Snoopi

2010-09-01 16:11:46

显示DHCP snoo

2010-09-03 11:21:57

2010-09-27 12:42:31

静态IP dhcp s

2010-09-01 15:42:39

DHCP SnoopiARP
点赞
收藏

51CTO技术栈公众号