FAQ-如何配置DHCPSnooping

发布时间:  2015-02-10 浏览次数:  372 下载次数:  0
问题描述
如何配置DHCPSnooping?
解决方案
DHCP Snooping是DHCP的一种安全特性,通过获取DHCP Client和DHCP Server之间的DHCP报文进行分析、处理,并过滤掉不信任的DHCP报文,来建立和维护一个DHCP Snooping绑定表。该绑定表包括MAC地址、IP地址、租约时间、绑定类型、VLAN ID、接口等信息。

DHCP Snooping绑定表根据信任端口接收到的DHCP ACK报文来动态生成,记录了DHCP Client的IP地址与MAC地址的对应关系,作用相当于在DHCP Client和DHCP Server之间建立一道防火墙,可以解决设备应用DHCP时遇到的DHCP DoS(Denial of Service)攻击、DHCP Server仿冒攻击、DHCP仿冒续租报文攻击等问题,保证合法用户能访问网络。

图1-4 防止DHCP Server仿冒者攻击示意图




在图1-4所示的场景中,配置防止DHCP Server仿冒者攻击功能需要执行以下步骤:

1. 全局使能DHCP Snooping功能
<Quidway> system-view
[Quidway] dhcp enable
[Quidway] dhcp snooping enable

2. 使能用户侧接口GE0/0/2、GE0/0/3的DHCP Snooping功能
[Quidway] interface gigabitethernet 0/0/2
[Quidway-GigabitEthernet0/0/2] dhcp snooping enable
[Quidway-GigabitEthernet0/0/2] quit
[Quidway] interface gigabitethernet 0/0/3
[Quidway-GigabitEthernet0/0/3] dhcp snooping enable
[Quidway-GigabitEthernet0/0/3] quit

3. 配置DHCP Server侧的接口GE0/0/1为Trusted模式
[Quidway] interface gigabitethernet 0/0/1
[Quidway-GigabitEthernet0/0/1] dhcp snooping trusted
[Quidway-GigabitEthernet0/0/1] quit


END