在中兴接入层交换机上配置DHCP Snooping
作者:网络医生 发布于:-8-1 12:00 Monday
分类:服务器及网络设备
在 ZXR10 2609-EI/2818S-EI/2826S-EI
系列交换机中,增加了DHCP Snooping功能。DHCP(Dynamic Host Configuration Protocol)是一种网络主机向服务器申请以动态获取主机配置的协议。由于主机没有IP 地址,那么与DHCP 服务器的交互均为广播,完全是透明的。但DHCP 服务器和客户端并没有认证机制,同时网络中可能存在着非法私自建立的DHCP 服务器,会给部分主机的地址分配、网关及DNS 参数造成混乱,导致主机无法连接到外部网络。此外,还有来自非法客户端的IP 欺骗、MAC 地址欺骗、用户ID 欺骗,以及DHCP 服务器地址耗尽等。DHCP Snooping 就是用以解决这些安全问题的。DHCP Snooping 即DHCP 报文过滤,就是基于特定的规则对经过交换机的DHCP 报文进行合法性检测,过滤掉非法报文。
将交换机上直连用户的端口设置为Client 属性,上行连接服务器的端口设为Server属性,向下级联的端口设为Cascade 属性。使能DHCP Snooping 功能,非Server端口进入交换机的DHCP 响应报文将被过滤掉,从而杜绝私设DHCP 服务器的问题。交换机生成并维护成功获得主机配置的用户信息表,可以增强安全维护性能。如下图:
配置命令:
1、DHCP全局配置
DHCP 全局配置是实现Snooping 功能的必要前提。端口属性设置要正确,否则将影响DHCP 正常交互。
1>使能/关闭系统DHCP 功能
set dhcp {enable|disable}
系统DHCP 功能缺省处于关闭状态,该命令用于全局开启/关闭DHCP
2>设置端口的DHCP 属性
set dhcp {port {server|cascade|client}|trunk {server|default}}
端口共有三种属性:server(连接DHCP server 的端口)、cascade(向下级联的端口)、client(连接客户主机的端口),缺省为client。支持trunk 连接server。
3>显示DHCP 信息及端口属性设置情况
show dhcp
2、DHCP SnoopingS配置
1>基于端口使能/关闭DHCP Snooping 功能
set dhcp snooping {add|delete} {port |trunk }
2>显示DHCP Snooping 配置
show dhcp snooping
3>显示DHCP Snooping 动态绑定表信息
show dhcp snooping binding [port ]
4>清除DHCP Snooping 动态绑定表(项)
clear dhcp snp-bind-entry {all|port |mac }
三种模式清除动态绑定表(项):清除所有、基于端口和基于MAC 地址。
3、配置实例
zte(cfg)#set dhcp enable
zte(cfg)#set dhcp port 26 server
zte(cfg)#set dhcp snooping add port 1-25
zte(cfg)#show dhcp snooping
