在中兴接入层交换机上配置DHCP Snooping

作者：网络医生发布于：2011-8-1 12:00 Monday 分类：服务器及网络设备

在 ZXR10 2609-EI/2818S-EI/2826S-EI 系列交换机中，增加了DHCP Snooping功能。DHCP（Dynamic Host Configuration Protocol）是一种网络主机向服务器申请以动态获取主机配置的协议。由于主机没有IP 地址，那么与DHCP 服务器的交互均为广播，完全是透明的。但DHCP 服务器和客户端并没有认证机制，同时网络中可能存在着非法私自建立的DHCP 服务器，会给部分主机的地址分配、网关及DNS 参数造成混乱，导致主机无法连接到外部网络。此外，还有来自非法客户端的IP 欺骗、MAC 地址欺骗、用户ID 欺骗，以及DHCP 服务器地址耗尽等。DHCP Snooping 就是用以解决这些安全问题的。DHCP Snooping 即DHCP 报文过滤，就是基于特定的规则对经过交换机的DHCP 报文进行合法性检测，过滤掉非法报文。

将交换机上直连用户的端口设置为Client 属性，上行连接服务器的端口设为Server属性，向下级联的端口设为Cascade 属性。使能DHCP Snooping 功能，非Server端口进入交换机的DHCP 响应报文将被过滤掉，从而杜绝私设DHCP 服务器的问题。交换机生成并维护成功获得主机配置的用户信息表，可以增强安全维护性能。如下图：

配置命令：

1、DHCP全局配置

DHCP 全局配置是实现Snooping 功能的必要前提。端口属性设置要正确，否则将影响DHCP 正常交互。

1>使能/关闭系统DHCP 功能

set dhcp {enable|disable}

系统DHCP 功能缺省处于关闭状态，该命令用于全局开启/关闭DHCP

2>设置端口的DHCP 属性
set dhcp {port <portname> {server|cascade|client}|trunk <trunkid>{server|default}}
端口共有三种属性：server（连接DHCP server 的端口）、cascade（向下级联的端口）、client（连接客户主机的端口），缺省为client。支持trunk 连接server。

3>显示DHCP 信息及端口属性设置情况
show dhcp

2、DHCP SnoopingS配置

1>基于端口使能/关闭DHCP Snooping 功能
set dhcp snooping {add|delete} {port <portlist>|trunk <trunklist>}

2>显示DHCP Snooping 配置
show dhcp snooping

3>显示DHCP Snooping 动态绑定表信息

show dhcp snooping binding [port <portname>]

4>清除DHCP Snooping 动态绑定表（项）
clear dhcp snp-bind-entry {all|port <portname>|mac <xx.xx.xx.xx.xx.xx>}
三种模式清除动态绑定表（项）：清除所有、基于端口和基于MAC 地址。

3、配置实例

zte(cfg)#set dhcp enable
zte(cfg)#set dhcp port 26 server

zte(cfg)#set dhcp snooping add port 1-25

zte(cfg)#show dhcp snooping

标签: 交换机 DHCP 2826 中兴交换机 ZXR10 ZTE Snooping