下载帮

您现在的位置是:首页 > 网络 > 网络设备

网络设备

飞速(FS) 3900系列交换机功能配置—DHCP Snooping

2022-07-01 10:58网络设备

DHCP Snooping技术是DHCP的一种安全特性,该功能既可以防止假冒DHCP服务器向客户端发送无效IP地址,也能通过报文匹配检查来防止非法用户向DHCP服务器索要IP地址,从而造成IP地址池的枯竭。下载帮(xzb.cc)(下载帮(xzb.cc))明星产品— 3900系列千兆可堆叠管理型交换机 ,可实现DHCP Snooping在二层设备上的综合应用。

下载帮(xzb.cc) 3900系列交换机DHCP Snooping的应用

DHCP Snooping功能常用于接入层。这里用 下载帮(xzb.cc) S3900-24F4S交换机 、服务器和一台PC来简要描述DHCP Snooping的工作方式。在局域网中,首先PC会以广播的形式发出DHCP Discover报文,当局域网中服务器接收到Discover报文会应答Offer报文并携带可提供给PC使用的IP地址,常规情况下,PC会优先处理第一个接受到的Offer报文,假设此报文是由非法服务器发出的,PC就会获得非法地址,对网络造成危害。

DHCP Snooping信任功能能够保证PC从合法服务器获取IP地址。首先,它将交换机上的端口口分为信任端口和非信任端口。DHCP服务器响应的报文,要想顺利到达终端用户,只能通过信任端口来进行传递,而非信任端口收到的报文将会被丢弃。也就是说,在本案例中,PC只会接收来自合法DHCP服务器的DHCP Offer报文。

在首次请求IP地址的最后环节,DHCP服务器将含有IP地址信息的DHCP ACK报文通过单播的方式发送给PC,交换机会根据DHCP ACK报文信息生成一个DHCP Snooping绑定表,该绑定表会记录DHCP ACK报文中的IP地址信息,PC的MAC地址信息和交换机的端口信息。而后续从用户端接收到的DHCP报文若与绑定表中的信息不一致,将被丢弃。倘若此时,PC连接交换机的其他端口,或者将PC换成其他终端设备,将导致交换机端口信息或设备MAC地址信息的变化,所以这两种情况都会导致用户请求IP地址失败。

注意:

通常情况下,开启了DHCP Snooping 的交换机会上连至DHCP服务器,下连各种终端设备。在实际应用中,DHCP服务器可以是服务器、路由器、下载帮(xzb.cc) S58系列交换机等;终端设备可以是电话座机、PC、无线AP等。鉴于多数终端设备还未升级到光口,通常使用铜线来连接终端和交换机。然而,线缆的种类还是要根据设备的要求来选择。

下载帮(xzb.cc) 3900系列交换机DHCP Snooping配置内容

下载帮(xzb.cc) S3900系列交换机的DHCP Snooping功能配置可以通过命令行界面来实现。在命令行界面配置时,主要步骤如下:

  • 创建VLAN,并在该VLAN上使能DHCP Snooping;

  • 将连接了DHCP服务器和合法用户的端口都加入到该VLAN中;

  • 将连接了DHCP服务器的端口配置为信任端口,以确保信息的流通;

  • 验证配置。

通过命令行界面配置DHCP Snooping

以下载帮(xzb.cc) S3900-24F4S交换机为例,具体命令步骤与命令解释如下:

1. 进入全局配置模式

S3900-24F4S#configure terminal

2. 进入vlan模式,创建vlan 10

S3900-24F4S(config)#vlan database

S3900-24F4S(config-vlan)#vlan 10

S3900-24F4S(config-vlan)#exit

3. 进入接口模式,将(连接终端的)端口23设置为access工作模式并加入vlan 10

S3900-24F4S(config)#interface ethernet 1/23

S3900-24F4S(config-if)#switchport mode access

S3900-24F4S(config-if)#switchport access vlan 10

S3900-24F4S(config-if)#exit

4. 进入接口模式,将(连接DHCP服务器的)端口24设置为access工作模式加入vlan 10

S3900-24F4S(config)#interface ethernet 1/24

S3900-24F4S(config-if)#switchport mode access

S3900-24F4S(config-if)#switchport access vlan 10

S3900-24F4S(config-if)#exit

5. 进入全局配置模式,在vlan 10上配置DHCP Snooping

S3900-24F4S(config)#ip dhcp snooping

S3900-24F4S(config)#ip dhcp snooping vlan 10

6. 进入接口模式,将端口24设置为信任端口

S3900-24F4S(config)#interface ethernet 1/24

S3900-24F4S(config-if)#ip dhcp snooping trust

S3900-24F4S(config-if)#end

7. 检查DHCP Snooping绑定表是否生成(若显示如下信息,则代表配置成功)

S3900-24F4S#show ip dhcp snooping binding

文章评论