前面我们对一部分的dhcp relay配置进行了讲解,大家应该也有了一定的掌握了。那么这里我们主要在介绍一下其中的dhcp relay握手功能以及禁止vlan几口上的安全问题。那么这两方面的配置是如何完成呢的?
◆使能/禁止vlan接口上的dhcp安全特性
当客户端通过dhcp中继从dhcp服务器获取到ip地址时,dhcp中继会记录ip地址与mac地址的绑定关系。用户也可以手工配置用户地址表项,即ip地址与mac地址的静态绑定。
为了防止非法用户静态配置一个ip地址,并访问其他网络,设备支持dhcp中继安全特性。使能vlan接口上的dhcp安全特性将启动vlan接口下用户地址合法性的检查,如果用户配置的ip地址与用户的mac地址的对应关系没有在dhcp中继的用户地址表中(包括dhcp中继动态记录的表项以及手工配置的用户地址表项),则dhcp中继将不允许该用户访问外部网络。
请在vlan接口视图下进行下列配置。
缺省情况下,vlan接口上的dhcp安全特性为关闭状态。
使能了vlan接口上的dhcp安全特性后,将导致已经申请到ip地址的客户端无法获得访问权限,需要客户端重新申请ip地址,建议管理员在没有用户获得ip地址前进行该配置!
◆开启dhcp relay握手功能
当dhcp客户端通过dhcp中继从dhcp服务器获取到ip地址时,dhcp中继会记录ip地址与mac地址的绑定关系。当交换机上使能了dhcp relay握手功能后,dhcp relay将根据绑定关系中的ip地址和自己的mac地址,定时向dhcp server端发送握手报文(dhcp-request报文)。
如果dhcp服务器响应dhcp-ack报文,则表明这个ip地址已经可以进行分配,dhcp中继会将动态用户地址表中对应的表项老化掉;
如果dhcp服务器响应dhcp-nak报文,则表示该ip地址的租约仍然存在,dhcp中继不会老化该ip地址对应的表项;
如果dhcp服务器没有响应dhcp中继的握手报文,dhcp 中继会继续给这个绑定关系握手,当3次不能收到回应时,认为这个ip地址已经可以进行分配,dhcp中继将动态用户地址表中对应的表项老化掉;
当交换机上禁止了dhcp relay握手功能后,dhcp relay不会定时向dhcp server端发送握手报文(dhcp-request报文),导致用户安全表项不断增加,将占用大量系统资源,请慎重使用!
当dhcp客户端释放该ip地址时,会发送单播dhcp-release报文给dhcp服务器;而dhcp中继不会处理该报文,造成dhcp中继的用户地址项不能被实时刷新。