DHCP Snooping

一、DHCP Snooping:意思是DHCP窥探,通过对client和服务器之间的DHCP交互报文的窥探,实现对用户的监控,同时DHCP Snooping起到一个DHCP报文过滤的功能,通过合理的配置实现对非法服务器的过滤,防止用户端获取到非法的DHCP服务器提供的地址而无法上网。


DHCP snooping通常配合 IP Source Guard功能实现防止用户私设静态IP,防止用户伪造IP进行内网扫描攻击的安全功能,配合ARP-Check还能实现防ARP欺骗的安全功能。


二组网拓扑

wKiom1Mf99-yJxNbAACVOeIsmFc982.jpg


三、配置要点

1、在接入交换机上全局开启dhcp snooping功能,并且在上联核心的端口开启DHCP Snooping信任口(对正常服务器过来端口的DHCP报文不控制)

2、在核心交换机上开启DHCP Server功能

四、配置步骤

核心交换机配置

1、开启核心设备的DHCP功能

sw1(config)#service dhcp

2、创建核心设备的IP地址(用户的网关地址)

sw1(config)#interface vlan 2

sw1(config-if-vlan 2)#ip address 192.168.1.254 255.255.255.0

3、创建核心设备的DHCP地址池

sw1(config)#ip dhcp pool vlan2

sw1(dhcp-config)#network 192.168.1.0 255.255.255.0(子网掩码要和所设置IP地址的子网掩码一样)

sw1(dhcp-config)#dns-server 8.8.8.8   (设置分给客户的DNS)

sw1(dhcp-config)#default-router 192.168.1.254  (设置分给客户的网关地址,要和核心设备上所设置的IP地址一样,为192.168.1.254)


接入交换机的配置:

1、在接入交换机上开启dhcp snooping功能

sw2(config)#ip dhcp snooping  (开启DHCP Snooping功能)

2、连接DHCP服务器的接口配置为可信任口

sw2(config)#interface g 0/49

sw2(config-gigabitethernet 0/49)# ip dhcp snooping trust  (开启DHCP snooping的交换机所有接口默认为untrust口,交换机只转发从trust口收到的DHCP响应报文)

五 验证省略……




你可能感兴趣的:(service,interface,IP地址,Address,核心交换机)