幸福宝榴莲丝瓜黄瓜草莓向日葵_小荡货翘高点好水_男生和男生一起差差差很痛软件 _国产玩小处雏女

您好,歡迎訪問飛暢科技官網!
服務熱線:+086 0571-87007055/56/57 EN

我們只專注于傳輸與接入

WE ONLY FOCUS ON TRANSMISSION AND ACCESS

聯系我們CONTACT US

全國咨詢熱線

0571-87007055/56/57/75

傳真:0571-87007140

手機:15306818230(微信)

QQ :2355416925

定制設計:18072828031(微信)

或給我們留言

在線留言

干貨——交換機DHCP Snooping配置詳解

瀏覽次數:發布時間:2022-11-09

DHCP Snooping 介紹

DHCP Snooping 技術是 DHCP 安全特性,通過建立和維護 DHCP Snooping 綁定表過濾不信任的 DHCP 信息,這些信息是來自不信任區域的 DHCP 信息。DHCP Snooping 綁定表包含不信任區域的用戶 MAC 地址、IP 地址、租約期、VLAN-ID 接口等信息。
 

DHCP Snooping 具體作用


● dhcp snooping 的主要作用就是隔絕非法的 dhcp server,通過配置信任端口對合法的 dhcp server 發送的報文進行正常接收并轉發 dhcp offer 報文,對于非信任端口接收到的 dhcp offer 報文直接丟棄。
●與交換機 DAI 的配合,防止 ARP 病毒的傳播。
●建立和維護一張 dhcp-snooping 的綁定表,這張表一是通過 dhcp ack 包中的 ip 和
mac 地址生成的,二是可以手工指定。這張表是后續 DAI(dynamic arp inspect)和 IPSource Guard 基礎。這兩種類似的技術,是通過這張表來判定 ip 或者 mac 地址是否合法,來限制用戶連接到網絡的。
●通過建立信任端口和非信任端口,對非法 DHCP 服務器進行隔離,信任端口正常轉發
DHCO 數據包,非信任端口收到的服務器響應的 DHCP offer 和 DHCPACK 后,做丟包處理, 不進行轉發。

DHCP Snooping 技術介紹


DHCP 監聽將交換機端口劃分為兩類:
●非信任端口:通常為連接終端設備的端口,如 PC,網絡打印機等
●信任端口:連接合法 DHCP 服務器的端口或者連接匯聚交換機的上行端口
通過開啟 DHCP 監聽特性,交換機限制用戶端口(非信任端口)只能夠發送 DHCP 請求, 丟棄來自用戶端口的所有其它 DHCP 報文,例如 DHCP Offer 報文等。而且,并非所有來自用戶端口的 DHCP 請求都被允許通過,交換機還會比較 DHCP 請求報文的(報文頭里的)源
MAC 地址和(報文內容里的)DHCP 客戶機的硬件地址(即 CHADDR 字段),只有這兩者相同的請求報文才會被轉發,否則將被丟棄。這樣就防止了 DHCP 耗竭攻擊。
信任端口可以接收所有的 DHCP 報文。通過只將交換機連接到合法 DHCP 服務器的端口設置為信任端口,其他端口設置為非信任端口,就可以防止用戶偽造 DHCP 服務器來攻擊網絡。DHCP 監聽特性還可以對端口的 DHCP 報文進行限速。通過在每個非信任端口下進行限速,將可以阻止合法 DHCP 請求報文的廣播攻擊。
DHCP 監聽還有一個非常重要的作用就是建立一張 DHCP 監聽綁定表(DHCP Snooping Binding)。一旦一個連接在非信任端口的客戶端獲得一個合法的 DHCP Offer,交換機就會自動在 DHCP 監聽綁定表里添加一個綁定條目,內容包括了該非信任端口的客戶端 IP 地址、MAC 地址、端口號、VLAN 編號、租期等信息。

option82


當 DHCP 服務器和客戶端不在同一個子網內時,客戶端要想從 DHCP 服務器上分配到 IP 地址,就必須由 DHCP 中繼代理(DHCP Relay Agent)來轉發 DHCP 請求包。DHCP 中繼代理將客戶端的 DHCP 報文轉發到 DHCP 服務器之前,可以插入一些選項信息,以便 DHCP 服務器能更精確的得知客戶端的信息,從而能更靈活的按相應的策略分配 IP 地址和其他參數。這個選項被稱為:DHCP relay agent information option(中繼代理信息選項),選項號為82,故又稱為 option 82,相關標準文檔為 RFC3046。
Option 82 是對 DHCP 選項的擴展應用。選項 82 只是一種應用擴展,是否攜帶選項 82 并不會影響 DHCP 原有的應用。另外還要看 DHCP 服務器是否支持選項 82。不支持選項 82 的 DHCP 服務器接收到插入了選項 82 的報文,或者支持選項 82 的 DHCP 服務器接收到了沒有插入選項 82 的報文,這兩種情況都不會對原有的基本的 DHCP 服務造成影響。要想支持選項 82 帶來的擴展應用,則 DHCP 服務器本身必須支持選項 82 以及收到的 DHCP 報文必須被插入選項 82 信息。

全局設置


配置步驟


1.在導航欄中選擇[管理設置/DHCP snooping/全局設置],進入 DHCP snooping[全局設置]界面。
2.在 DHCP snooping[全局設置]界面中可以查看 DHCP snooping 的全局配置信息。
3.如需修改 DHCP snooping 的全局配置,可在 DHCP snooping 全局配置框中修改相應配置,然后單擊<應用>。
DHCP snooping 全局設置界面

配置項說明 


配置項 說明
管理狀態 DHCP snooping全局使能開關:
開啟:使能DHCP snooping功能;
關閉:關閉DHCP snooping功能。
注:默認為關閉。 

端口設置


配置步驟 


1.在導航欄中選擇[管理設置/DHCP snooping/端口設置],進入 DHCP snooping[端口設置]界面。 
2.在 DHCP snooping[端口設置]界面中可以查看 DHCP snooping 的端口配置。
3.如需修改某個端口的 DHCP snooping 配置,單擊對應端口顯示欄后的<修改>按鈕,進入端口配置界面。 
4.選擇或填寫需要修改的配置項,單擊<應用>生效,如配置項填寫有誤,會有相應的提示。
DHCP snooping 端口設置界面
 

配置項說明 


配置項 說明
端口 端口名稱信息。
信任 端口的信任:
是:設置端口為信任端口; 
否:設置端口為非信任端口。
注:端口默認為否。
代理電路ID 設置端口的代理電路ID,默認采用全局的代理電路ID。
代理遠程ID 設置端口的代理遠程ID,默認采用全局的代理遠程ID。

綁定表


配置步驟


1.在導航欄中選擇[管理設置/DHCP snooping/綁定表],進入 DHCP snooping[綁定表] 界面。 
2.在 DHCP snooping[綁定表]界面中可以查看所有的綁定表相關信息。 
3.單擊<刷新>,更新查看所有的 DHCP snooping 綁定表信息。 
DHCP snooping 綁定表界面


總結:以上內容就是飛暢科技關于交換機DHCP Snooping配置詳解的相關詳細介紹,希望能對大家有所幫助!杭州飛暢科技有限公司主營:電話光端機、PDH/SDH光端機工業交換機光纖收發器協議轉換器、物理隔離網絡光端機多業務光端機音頻光端機視頻光端機、TDM over IP、PCM語音接入、光纖貓等傳輸與接入設備。自主研發品牌,價格優惠,歡迎前來了解、交流,咨詢熱線:0571-8700-7140。
EN