DHCP Snooping技术

DHCP Snooping技术介绍  

       1.介绍DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。

当交换机开启了DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP RequestDHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。

作用:dhcp-snooping的主要作用就是隔绝非法的dhcp server,通过配置非信任端口。

当一个交换机接收一个包(一个非可信接口,且接口属于某个vlan(DHCP snooping启用时)),交换机比较源mac地址和DHCP客户端硬件地址。如果地址匹配,交换机转发数据包,如果地址不匹配,交换机丢弃数据包。

当发生处于以下情景时,交换机丢弃一个DHCP包:

      (1)外网或者防火墙的外的DHCP的包

        (2)处于非可信接口,源地址和DHCP客户端硬件地址不匹配

         (3)交换机接收到一个DHCPRELEASE或者DHCPDECLINE广播消息(有一个MAC地址在DHCP snooping绑定数据库),但与数据库中的信息不匹配。

          (4)dhcp relay agent转发一个DHCP包,包括一个agent ip地址(而非0.0.0.0)


2.建立和维护一张dhcp-snooping的绑定表,这张表一是通过dhcp ack包中的ipmac地址生成的,二是可以手工指定。这张表是后续DAIdynamic arp inspect)和IP Source Guard 基础。这两种类似的技术,是通过这张表来判定ip或者mac地址是否合法,来限制用户连接到网络的。

2.配置

switchconfig#ip dhcp snooping switchconfig#ip dhcp snooping vlan 10 

switchconfig-if#ip dhcp snooping limit rate 10 /*dhcp包的转发速率,超过就接口就shutdown,默认不限制
switch
config-if#ip dhcp snooping trust /*这样这个端口就变成了信任端口,信任端口可以正常接收并转发DHCP Offer报文,不记录ipmac地址的绑定,默认是非信任端口"

switch#ip dhcp snooping binding 0009.3452.3ea4 vlan 7 192.168.10.5 interface gi1/0/10/*
这样可以静态ipmac一个绑定;
switch
config#ip dhcp snooping database tftp:// 10.1.1.1/dhcp_table/*因为掉电后,这张绑定表就消失了,所以要选择一个保存的地方,ftptftpflash皆可。本例中的dhcp_table是文件名,而不是文件夹,同时文件名要手工创建一个。 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值