DHCP Snooping是一种用于增强网络安全性,防止非法DHCP服务器分配IP地址的技术。在交换机上启用此功能,通过设置信任和非信任端口,只允许指定的DHCP服务器与客户端进行合法交互。本文通过实验展示了如何在Cisco交换机上配置DHCP Snooping,以确保网络中仅使用合法的DHCP服务。
关于DHCP在之前的文章中也提到过,它是为网络中的终端提供IP地址的服务。DHCP为网络管理员在IP地址分配任务上减轻了很大的压力,而且DHCP服务也简化了对IP地址分发的管理。管理员可以很轻松直观地在DHCP服务器上查看IP地址的使用情况。但是DHCP天生有一个缺陷,就是在DHCP服务器与客户端在IP地址请求和分发的过程中,缺少认证机制。所以网络中如果出现一台非法的DHCP服务器为客户端提供非法的IP地址,那么就黑客就可以做一些中间人攻击的操作,给网络的安全性带来了隐患。为了消除这一隐患,我们可以通过DHCP Snooping技术,来过滤掉非法的DHCP服务器与客户端之间的DHCP交互数据。从而达到DHCP服务的安全、可靠。
下面我们就来聊聊DHCP Snooping是怎么一回事。
DHCP Snooping是 DHCP 的一种安全特性,主要应用在 交换机 上,作用是屏蔽接入网络中的非法的 DHCP 服务器。即开启 DHCP Snooping 功能后,网络中的客户端只有从管理员指定的 DHCP 服务器获取 IP 地址。启用 DHCP Snooping 功能后,必须将 交换机上的端口设置为信任(Trust)和非信任(Untrust)状态,交换机 只转发信任端口的 DHCP OFFER/ACK/NAK报文,丢弃非信任端口的 DHCP OFFER/ACK/NAK 报文,从而达到阻断非法 DHCP 服务器的目的。—摘自百度百科
DHCP Snooping是应用在交换机上的一种DHCP阻断技术,它通过信任和非信任端口的设置来阻断DHCP交互数据的流量。下面我们看一下,怎样在Cisco交换机上配置DHCP Snooping。
实验平台为EVE-NG,DHCP Server和 SpuriousDHCPServer 为Cisco 路由器模拟。拓扑图如下:
最低0.47元/天 解锁文章
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
