本文主要是介绍DHCP Snooping场景——防止DHCP服务器私接,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
问题现象:
由于DHCP Server和DHCP Client之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数,以致终端无法正常上网。
解决方法:
为了防止DHCP Server仿冒者攻击,可在DHCP服务器与DHCP客户端中间的网络设备上配置对应接口的“信任(Trusted)/非信任(Untrusted)”工作模式。
将与合法DHCP服务器直接或间接连接的接口设置为信任接口,其他接口设置为非信任接口。此后,从“非信任(Untrusted)”接口上收到的DHCP回应报文将被直接丢弃,这样可以有效防止DHCP Server仿冒者的攻击。
配置命令:
案例一:G0/0/1连接服务器,配置为trusted口,其它端口都设置为untrusted口
#
dhcp enable
#
dhcp snooping enable
#
interface GigabitEthernet0/0/1
dhcp snooping enable
dhcp snooping trusted
#
interface GigabitEthernet0/0/2
dhcp snooping enable
#
interface GigabitEthernet0/0/3
dhcp snooping enable
#
当G0/0/2口连接服务器,G0/0/2抓包验证
这篇关于DHCP Snooping场景——防止DHCP服务器私接的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
