1.1 DHCP Snooping简介
Ø DHCP Snooping 是 DHCP 的一种安全特性。
Ø 配置DHCP Snooping位于DHCP服务器和客户端之间的设备。(配置在接入层交换机 )
Ø 配置了DHCP Snooping功能,必须要配置连接上连口的端口为dhcp snooping trust
信任端口。
1.2 DHCP Snooping产生的背景以及作用
网络中,如果有人私自搭建了DHCP服务器,就会有可能使得客户端获取到非法的IP地址,故而,为了防止这种情况,在接入层交换机配置DHCP Snooping功能。
1.3 DHCP Snooping特点
①保证客户端从合法的服务器获取IP地址
②记录DHCP客户端IP地址与MAC地址的对应关系
1.4 DHCP Snooping的原理及配置
在客户端和DHCP服务器的网络设备,(就是接入层交换机)。配置dhcp snooping enable使能,再配置一个信任端口,这个端口就是连接上层交换机的接口,配置成为信任端口,dhcp snooping trust。这样,其他的端口全为不信任端口。
信任端口:能正常转发接收DHCP报文
不信任端口:接收到 DHCP 服务器响应的 DHCP-ACK 和 DHCP-OFFER 报文后,丢弃该报文。保证 客户端只能从合法的 DHCP 服务器获取 IP 地址,私自架设的伪 DHCP服务器无法为 DHCP 客户端分配 IP 地址。
2.实验拓扑
第一步:接入交换机开启dhcp snooping enable使能
[R2-jieru]dhcp snooping enable
//注意:如果开了这个功能,必须要指定一个信任端口,否则终端无法获取IP的。
第二步:接入交换机配置一个信任端口
信任端口:就是面向DHCP server的端口,也就是连接上层交换机的端口,将此端口配置为信任端口。
[R2-jieru-Ten-GigabitEthernet1/0/49]dhcp snooping trust
//与上层交换机连接的端口必须使用此命令。
注意事项:
①如果要配置dhcp snooping功能,以上两个命令必须要同时使用,否则终端无法获取IP地址
②注意:在没开启dhcp snooping功能之前,如果旧终端已经获取IP,如果交换机开启dhcp snooping功能,没有配置信任端口,那么旧终端通信不受影响,因为他已经拿到了地址,等到租期到期,再联系dhcp server时候,就无法获取地址了。导致了为什么有些终端(旧终端可以通信),有些新终端无法通信的原因。