關於DHCP Snooping
· DHCP監聽(DHCP Snooping)是一種DHCP安全特性。當交換機開啟了 DHCP-Snooping後,將開始對DHCP報文進行偵聽。DHCP-Snooping允許將某個物理埠設定為信任埠或不信任埠。信任埠可以正常接收並轉發DHCP Offer報文,而不信任埠會將接收到的DHCP Offer報文丟棄。
我們可以在接入層交換機上將PC、網路印表機等裝置所連埠設為非信任埠,將連線到DHCP 伺服器或連線匯聚交換機的上行埠設為信任埠。這樣,可以完成交換機對假冒DHCP Server的遮蔽作用,確保客戶端從合法的DHCP Server獲取IP地址。
另外,DHCP監聽還有一個非常重要的作用就是建立一張DHCP監聽繫結表(
DHCP Snooping Binding)。一旦一個連線在非信任埠的客戶端獲得一個合法的DHCP Offer,交換機就會自動在DHCP監聽繫結表裡新增一個繫結條目,內容包括了該非信任埠的客戶端IP地址、MAC地址、埠號、VLAN編號、租期等資訊。(如下圖) 這張表為進一步部署動態ARP檢測(DAI)提供了依據,DAI將檢測從非信任埠收到的arp包,然後對照該資料包的源IP與源MAC地址是否與表裡的資料相同,如果不符合則丟棄該資料包,這樣當用戶手動更改IP地址後,該計算機將無法連入企業網路。在這裡我就不多做介紹,大家有興趣可以自己去網上了解。
現在,我們來看一下DHCP Snooping在交換機上的配置。
如下圖拓撲所示,這是一個多交換機的環境,由企業指定的DHCP 伺服器提供DHCP 服務,禁止其他使用者私自搭建DHCP伺服器。
3560交換機配置
switch(config)# ip dhcp snooping ;在全域性模式下啟用DHCP Snooping
switch(config)# ip dhcp snooping vlan 1 ;定義哪些 VLAN啟用 DHCP Snooping功能
switch(config)#int fa0/1 ;dhcp伺服器所在埠
switch(config-if)# ip dhcp snooping 。
關於DHCP Snooping
· DHCP監聽(DHCP Snooping)是一種DHCP安全特性。當交換機開啟了 DHCP-Snooping後,將開始對DHCP報文進行偵聽。DHCP-Snooping允許將某個物理埠設定為信任埠或不信任埠。信任埠可以正常接收並轉發DHCP Offer報文,而不信任埠會將接收到的DHCP Offer報文丟棄。
我們可以在接入層交換機上將PC、網路印表機等裝置所連埠設為非信任埠,將連線到DHCP 伺服器或連線匯聚交換機的上行埠設為信任埠。這樣,可以完成交換機對假冒DHCP Server的遮蔽作用,確保客戶端從合法的DHCP Server獲取IP地址。
另外,DHCP監聽還有一個非常重要的作用就是建立一張DHCP監聽繫結表(
DHCP Snooping Binding)。一旦一個連線在非信任埠的客戶端獲得一個合法的DHCP Offer,交換機就會自動在DHCP監聽繫結表裡新增一個繫結條目,內容包括了該非信任埠的客戶端IP地址、MAC地址、埠號、VLAN編號、租期等資訊。(如下圖) 這張表為進一步部署動態ARP檢測(DAI)提供了依據,DAI將檢測從非信任埠收到的arp包,然後對照該資料包的源IP與源MAC地址是否與表裡的資料相同,如果不符合則丟棄該資料包,這樣當用戶手動更改IP地址後,該計算機將無法連入企業網路。在這裡我就不多做介紹,大家有興趣可以自己去網上了解。
現在,我們來看一下DHCP Snooping在交換機上的配置。
如下圖拓撲所示,這是一個多交換機的環境,由企業指定的DHCP 伺服器提供DHCP 服務,禁止其他使用者私自搭建DHCP伺服器。
3560交換機配置
switch(config)# ip dhcp snooping ;在全域性模式下啟用DHCP Snooping
switch(config)# ip dhcp snooping vlan 1 ;定義哪些 VLAN啟用 DHCP Snooping功能
switch(config)#int fa0/1 ;dhcp伺服器所在埠
switch(config-if)# ip dhcp snooping 。