在网络中,可以通过静态以及动态方式获取IP地址,对于通过静态获取IP地址的用户,也就是非DHCP用户而言,则可能对网络可能许多潜在的危险。这将为合法DHCP用户正常使用网络带来了一定的安全隐患。
为了防止非DHCP用户的攻击,可以通过开启设备DHCP Snooping 绑定表生成接口的静态MAC表项功能。设备会根据接口下DHCP所对应的DHCP Snooping绑定表项,生成静态MAC对应表项,并同时关闭接口学习动态MAC表项功能。当且仅当源MAC与静态MAC表项一致的报文才能够正常通过该接口,否则将会被丢弃。而对于该接口下的所有非DHCP用户,除非有管理员手动配置的用户静态MAC表项,否则报文将被丢弃。
动态MAC表项是由设备自动学习并生成的,静态MAC表项则是根据管理员手工配置生成的。MAC表项通常包含了用户的MAC、所属VLAN、连接的端口号等信息。
那么如何进行配置呢?
操作步骤
1.interface interface-type interface-number //进入指定接口
2.dhcp snooping sticky-mac // 根据DHCP Snooping生成相应的绑定表
默认情况下,设备并未开启DHCP Snooping 绑定表自动生成静态MAC表项功能