DHCP snooping有什么作用,一般的交换机、AP都有这种功能吗? 如何开启Cisco交换机DHCP Snooping功能
\u4ea4\u6362\u673a\u914d\u7f6e dhcp-snooping\u7684\u4f18\u7f3a\u70b9\u662f\u4ec0\u4e48\uff1fDHCP Snooping\uff08DHCP\u76d1\u542c\uff09\u662f\u4e00\u79cdDHCP\u5b89\u5168\u7279\u6027\u3002Cisco\u4ea4\u6362\u673a\u652f\u6301\u5728\u6bcf\u4e2aVLAN\u57fa\u7840\u4e0a\u542f\u7528DHCP\u76d1\u542c\u7279\u6027\u3002\u901a\u8fc7\u8fd9\u79cd\u7279\u6027\uff0c\u4ea4\u6362\u673a\u80fd\u591f\u62e6\u622a\u7b2c\u4e8c\u5c42VLAN\u57df\u5185\u7684\u6240\u6709DHCP\u62a5\u6587\u3002
DHCP-Snooping\u548cIGMP-Snooping\u5b8c\u6210\u7684\u529f\u80fd\u7c7b\u4f3c\uff0c\u90fd\u662f\u5bf9\u7279\u5b9a\u62a5\u6587\u8fdb\u884c\u4fa6\u542c\u3002\u5f53\u4ea4\u6362\u673a\u5f00\u542f\u4e86DHCP-Snooping\u540e\uff0c\u4f1a\u5bf9DHCP\u62a5\u6587\u8fdb\u884c\u4fa6\u542c\uff0c\u5e76\u53ef\u4ee5\u4ece\u63a5\u6536\u5230\u7684DHCP Request\u6216DHCP Ack\u62a5\u6587\u4e2d\u63d0\u53d6\u5e76\u8bb0\u5f55IP\u5730\u5740\u548cMAC\u5730\u5740\u4fe1\u606f\u3002
\u53e6\u5916\uff0cDHCP-Snooping\u5141\u8bb8\u5c06\u67d0\u4e2a\u7269\u7406\u7aef\u53e3\u8bbe\u7f6e\u4e3a\u4fe1\u4efb\u7aef\u53e3\u6216\u4e0d\u4fe1\u4efb\u7aef\u53e3\u3002\u4fe1\u4efb\u7aef\u53e3\u53ef\u4ee5\u6b63\u5e38\u63a5\u6536\u5e76\u8f6c\u53d1DHCP Offer\u62a5\u6587\uff0c\u800c\u4e0d\u4fe1\u4efb\u7aef\u53e3\u4f1a\u5c06\u63a5\u6536\u5230\u7684DHCP Offer\u62a5\u6587\u4e22\u5f03\u3002\u8fd9\u6837\uff0c\u53ef\u4ee5\u5b8c\u6210\u4ea4\u6362\u673a\u5bf9\u5047\u5192DHCP Server\u7684\u5c4f\u853d\u4f5c\u7528\uff0c\u786e\u4fdd\u5ba2\u6237\u7aef\u4ece\u5408\u6cd5\u7684DHCP Server\u83b7\u53d6IP\u5730\u5740\u3002
DHCP-snooping\u8fd8\u6709\u4e00\u4e2a\u975e\u5e38\u91cd\u8981\u7684\u4f5c\u7528\u5c31\u662f\u5efa\u7acb\u4e00\u5f20DHCP\u76d1\u542c\u7ed1\u5b9a\u8868\uff0c\u5bf9\u4e8e\u5df2\u5b58\u5728\u4e8e\u7ed1\u5b9a\u8868\u4e2d\u7684mac\u548cip\u5bf9\u4e8e\u5173\u7cfb\u7684\u4e3b\u673a\uff0c\u4e0d\u7ba1\u662fdhcp\u83b7\u5f97\uff0c\u8fd8\u662f\u9759\u6001\u6307\u5b9a\uff0c\u53ea\u8981\u7b26\u5408\u8fd9\u4e2a\u8868\u5c31\u53ef\u4ee5\u4e86\u3002\u5982\u679c\u8868\u4e2d\u6ca1\u6709\u5c31\u963b\u585e\u76f8\u5e94\u6d41\u91cf\u3002
ip dhcp snooping
\u4e0a\u8054\u53e3 int f0/1
ip dhcp snooping trust
Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。简单的说就是隔离不安全的DHCP Server,将目的的DHCP服务器保护起来。DHCP
Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。一般的网管式交换机都有这个功能,AP需要看厂家,可能有的厂家支持,有的不支持,一般来说AP也是具备DHCP Snooping功能的。
这是DHCP中继服务,一般只有企业级的交换机才有这个功能。
很多场景中为了维护的方便,PC都采用DHCP获取的方式来获得IP地址,但是基于DHCP的原理,如果局域网中存在多个DHCP服务器的时候(一个合法,其他非法),那么PC就有可能获取到非法DHCP服务器分配的IP地址,从而导致上网异常或者出现网络安全方面的隐患。
DHCP snooping技术就是解决这个问题的,它通过对DHCP报文进行侦听,提取并记录相关IP和MAC地址信息,来完成对假冒DHCP Server的屏蔽作用。从而让PC或者手机获取到合法的IP地址。交换机支持类似功能的比较多,一般AP支持的厂商比较少,网月的AP好像是支持的。
扩展阅读:华为dhcpsnooping配置 ... show ip dhcp snooping ... 华三交换机dhcp snooping ... dhcpsnooping配置实例 ... h3cdhcpsnooping配置 ... tp-link dhcp snooping ... dhcp snooping trusted ... dhcpsnooping弊端 ... 华为交换机snooping ...
