作用是什么一种主要应用

dhcp snooping的作用是什么?

电脑知识 2020-10-09 03:10:05 34

导读

DHCPSnooping是DHCP的一种安全特性,主要应用在交换机上,作用是屏蔽接入网络中的非法的DHCP HTML?userCode=mmsizw8gtarget=_blankclass=infotextkey>服务器。即开启DHCPSnooping功能后,网络中的客户端只有从管理员指定的DHCP服务器获取IP地址。由于DHCP报文缺少认证……

dhcp snooping的作用是什么?

DHCP Snooping是 DHCP 的一种安全特性,主要应用在 交换机 上,作用是屏蔽接入网络中的非法的 DHCP HTML?userCode=mmsizw8g target=_blank class=infotextkey>服务器。即开启 DHCP Snooping 功能后,网络中的客户端只有从管理员指定的 DHCP 服务器获取 IP 地址。

由于 DHCP 报文缺少认证机制,如果网络中存在非法 DHCP 服务器,管理员将无法保证客户端从管理员指定的 DHCP服务器获取合法地址,客户机有可能从非法 DHCP 服务器获得错误的 IP 地址等配置信息,导致客户端无法正常使用网络。

启用 DHCP Snooping 功能后,必须将 交换机上的端口设置为信任(Trust)和非信任(Untrust)状态,交换机 只转发信任端口的 DHCP OFFER/ACK/NAK报文,丢弃非信任端口的 DHCP OFFER/ACK/NAK 报文,从而达到阻断非法 DHCP 服务器的目的。

建议将连接 DHCP 服务器的端口设置为信任端口,其他端口设置为非信任端口。此外 DHCP Snooping 还会监听经过本机的 DHCP 数据包,提取其中的关键信息并生成 DHCP Binding Table 记录表,一条记录包括 IP、MAC、租约时间、端口、VLAN、类型等信息,结合 DAI(Dynamic ARP Inspection)和 IPSG(IP Source Guard)可实现ARP防欺骗和IP流量控制功能。

dhcp snooping的作用

1、dhcp-snooping的主要作用就是隔绝非法的dhcp server,通过配置非信任端口。

2、与交换机DAI的配合,防止ARP病毒的传播。

3、建立和维护一张dhcp-snooping的绑定表,这张表一是通过dhcp ack包中的ip和mac地址生成的,二是可以手工指定。这张表是后续DAI(dynamic arp inspect)和IPSource Guard 基础。这两种类似的技术,是通过这张表来判定ip或者mac地址是否合法,来限制用户连接到网络的。

4、通过建立信任端口和非信任端口,对非法DHCP服务器进行隔离,信任端口正常转发DHCP数据包,非信任端口收到的服务器响应的DHCP offer和DHCPACK后,做丢包处理,不进行转发。


1253067 TFnetwork_cn