在中兴接入层交换机上配置DHCP Snooping
作者:网络医生 发布于:2011-8-1 12:00 Monday 分类:服务器及网络设备
在 ZXR10 2609-EI/2818S-EI/2826S-EI
系列交换机中,增加了DHCP Snooping功能。DHCP(Dynamic Host Configuration Protocol)是一种网络主机向服务器申请以动态获取主机配置的协议。由于主机没有IP 地址,那么与DHCP 服务器的交互均为广播,完全是透明的。但DHCP 服务器和客户端并没有认证机制,同时网络中可能存在着非法私自建立的DHCP 服务器,会给部分主机的地址分配、网关及DNS 参数造成混乱,导致主机无法连接到外部网络。此外,还有来自非法客户端的IP 欺骗、MAC 地址欺骗、用户ID 欺骗,以及DHCP 服务器地址耗尽等。DHCP Snooping 就是用以解决这些安全问题的。DHCP Snooping 即DHCP 报文过滤,就是基于特定的规则对经过交换机的DHCP 报文进行合法性检测,过滤掉非法报文。
将交换机上直连用户的端口设置为Client 属性,上行连接服务器的端口设为Server属性,向下级联的端口设为Cascade 属性。使能DHCP Snooping 功能,非Server端口进入交换机的DHCP 响应报文将被过滤掉,从而杜绝私设DHCP 服务器的问题。交换机生成并维护成功获得主机配置的用户信息表,可以增强安全维护性能。如下图:
配置命令:
1、DHCP全局配置
DHCP 全局配置是实现Snooping 功能的必要前提。端口属性设置要正确,否则将影响DHCP 正常交互。
1>使能/关闭系统DHCP 功能
set dhcp {enable|disable}
系统DHCP 功能缺省处于关闭状态,该命令用于全局开启/关闭DHCP
2>设置端口的DHCP 属性
set dhcp {port <portname> {server|cascade|client}|trunk <trunkid>{server|default}}
端口共有三种属性:server(连接DHCP server 的端口)、cascade(向下级联的端口)、client(连接客户主机的端口),缺省为client。支持trunk 连接server。
3>显示DHCP 信息及端口属性设置情况
show dhcp
2、DHCP SnoopingS配置
1>基于端口使能/关闭DHCP Snooping 功能
set dhcp snooping {add|delete} {port <portlist>|trunk <trunklist>}
2>显示DHCP Snooping 配置
show dhcp snooping
3>显示DHCP Snooping 动态绑定表信息
show dhcp snooping binding [port <portname>]
4>清除DHCP Snooping 动态绑定表(项)
clear dhcp snp-bind-entry {all|port <portname>|mac <xx.xx.xx.xx.xx.xx>}
三种模式清除动态绑定表(项):清除所有、基于端口和基于MAC 地址。
3、配置实例
zte(cfg)#set dhcp enable
zte(cfg)#set dhcp port 26 server
zte(cfg)#set dhcp snooping add port 1-25
zte(cfg)#show dhcp snooping
联系方式
-
mail: mail@num123.com
QQ: 76908265
日志分类
随机日志
日历
标签云
最新碎语
- 博客多年没更新了,但一直都在运行。天朝的管制太严格了,今天迁移到香港的服务器上。
2018-07-25 13:51
- 决心一下,行动要快。
2013-09-09 09:02
- 为灾区人民祈福!
2013-04-22 12:45
- 都是停电惹的祸
2013-03-17 20:06
- 假期结束,开始上班。
2012-08-13 07:17
- 堵到机场高速上了
2012-07-13 18:14
- 人生的计划永远赶不上变化。
2012-07-10 18:45
- 接受你所接受的,珍惜你所拥有的。
2012-05-11 14:13