DHCP snooping
 | 此條目需要補充更多來源。 (2023年8月17日) |
DHCP Snooping是DHCP的一種安全特性,主要用在網路交換器上。
原理[編輯]
作用是屏蔽接入網絡中的非法的DHCP服務器。開啟DHCP Snooping功能後,網絡中的客戶端僅從管理員指定的DHCP服務器獲取IP地址。
由於DHCP報文缺少認證機制,如果網絡中存在非法DHCP服務器,管理員將無法保證客戶端從管理員指定的DHCP服務器獲取合法地址,客戶機有可能從非法DHCP服務器獲得錯誤的IP地址等配置信息,導致客戶端無法正常使用網絡。
啟用 DHCP Snooping 功能後,必須將交換機上的端口設置為信任(Trust)和非信任(Untrust)狀態,交換機只轉發信任端口的 DHCP OFFER/ACK/NAK報文,丟棄非信任端口的 DHCPOFFER/ACK/NAK 報文,從而達到阻斷非法DHCP服務器的目的。建議將連接DHCP服務器的端口設置為信任端口,其他端口設置為非信任端口。
此外,DHCP Snooping還會監聽經過本機的DHCP數據包,提取其中的關鍵信息並生成 DHCP Binding Table 記錄表,一條記錄包括IP、MAC地址、租約時間、端口、VLAN、類型等信息,結合DAI(Dynamic ARP Inspection)和IPSG(IP Source Guard)可實現ARP防欺騙和IP流量控制功能[1]。
參考資料[編輯]
- ^ Catalyst 6500 Release 12.2SX Software Configuration Guide. [2018-07-31]. (原始內容存檔於2018-01-20).