DHCP snooping

维基百科,自由的百科全书

这是DHCP snooping当前版本,由imported>YFdyh000编辑于2023年8月17日 (四) 23:17。这个网址是本页该版本的固定链接。

(差异) ←上一修订 | 最后版本 (差异) | 下一修订→ (差异)
跳转到导航 跳转到搜索
File:DHCP Snooping -zh.svg
DHCP snooping的工作原理示意

DHCP SnoopingDHCP的一种安全特性,主要用在網路交換器上。

原理[编辑]

作用是屏蔽接入网络中的非法的DHCP服务器。开启DHCP Snooping功能后,网络中的客户端仅从管理员指定的DHCP服务器获取IP地址

由于DHCP报文缺少认证机制,如果网络中存在非法DHCP服务器,管理员将无法保证客户端从管理员指定的DHCP服务器获取合法地址,客户机有可能从非法DHCP服务器获得错误的IP地址等配置信息,导致客户端无法正常使用网络。

启用 DHCP Snooping 功能后,必须将交换机上的端口设置为信任(Trust)和非信任(Untrust)状态,交换机只转发信任端口的 DHCP OFFER/ACK/NAK报文,丢弃非信任端口的 DHCPOFFER/ACK/NAK 报文,从而达到阻断非法DHCP服务器的目的。建议将连接DHCP服务器的端口设置为信任端口,其他端口设置为非信任端口。

此外,DHCP Snooping还会监听经过本机的DHCP数据包,提取其中的关键信息并生成 DHCP Binding Table 记录表,一条记录包括IP、MAC地址、租约时间、端口、VLAN、类型等信息,结合DAI(Dynamic ARP Inspection)和IPSG(IP Source Guard)可实现ARP防欺骗和IP流量控制功能[1]

參考資料[编辑]

  1. ^ Catalyst 6500 Release 12.2SX Software Configuration Guide. [2018-07-31]. (原始内容存档于2018-01-20).