2022.1.30 The important thing in ife isn't the destination.lt's the journey--人生重要的不是目的,而是过程。
设置一个要分配给客户机的地址池
分配给客户端的网段
分配给客户端的网关
分配给客户端的dns服务器
刨除的地址
DHCP监听的原理
保证客户端能够从正确的DHCP服务器获得IP地址
避免DHCP服务器欺骗和DHCP地址耗尽
限制客户端发送DHCP请求的速度,从而减缓DHCP资源耗尽攻击
非信任端口
连接终端设备的端口,该端口客户端只能发送DHCP请求报文,而丢弃来自该端口的其他所有DHCP报文(DHCP offer等)
信任端口
连接合法的DHCP服务器或者汇聚接口,能够转发和接收所有DHCP报文
总结
DHCP中继
1.配置的helper地址是DHCP服务器的地址
2.由于中继的关系,discover报文的源IP地址会变成中继接口IP地址,所以DHCP服务器必须有可达的路由。
DHCP监听
配置在接入层交换机的
限制住了DHCP四种报文的交互方向,从而解决了DHCP的中间人攻击问题。
非授信端口:接终端,限制报文访问方向
授信端口:面向内网,不做限制。
IP源防护
配置在DHCP snooping 的非信任接口上的。
根据DHCP snooping的绑定表进行源IP地址的校验工作的。
两个前置条件:
1.必须启用DHCP snooping
2.snooping必须启用82选项
verify source 表
从snooping表取数,存放动态信息
source binding 表
从snooping表取数,也记录静态绑定,存放动静信息