- DHCP Snooping是DHCP的一种安全特性,具有如下功能:
- 保证客户端从合法的服务器获取IP地址。
- 记录DHCP客户端IP地址与MAC地址的对应关系。
- 网络中如果存在私自架设的伪DHCP服务器,则可能导致DHCP客户端获取错误的IP地址和网络配置参数,无法正常通信。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口:
- 信任端口正常转发接收到的DHCP报文。
- 不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文。
- 连接DHCP服务器和其他DHCP Snooping设备的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。
- 基础配置(V5)
# 使能DHCP Snooping功能(使能后默认所有的接口为非信任口)。
<SwitchB> system-view
[SwitchB] dhcp-snooping
# 配置GigabitEthernet1/0/1端口为信任端口。
[SwitchB] interface GigabitEthernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] dhcp-snooping trust
[SwitchB-GigabitEthernet1/0/1] quit
- 基础配置(V7)
# 全局开启DHCP Snooping功能。
<SwitchB> system-view
[SwitchB] dhcp snooping enable
# 设置Gig1/0/1端口为信任端口。
[SwitchB] interface GigabitEthernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] dhcp snooping trust
[SwitchB-GigabitEthernet1/0/1] quit
# 在GigE1/0/2上开启DHCP Snooping表项功能。
[SwitchB] interface GigabitEthernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] dhcp snooping binding record
[SwitchB-GigabitEthernet1/0/2] quit