电脑插了网线,也能动态获取-,可就是上不了网” 别着急,试试我们的扪心自问法:已经获取的-是否真实可用?是由-dhcp服务器分配的吗?如果不是的话,那你可能就已掉入不-dhcp服务器的-。
dhcp snooping是 dhcp 的一种安全特性,常用于二层网络。启用了该功能的交换机,可以屏蔽接入网络中的不-的dhcp服务器,也就是说,网络中的-只有从管理员规定的dhcp服务器获取 ip 地址。dhcp snooping的主要工作涵盖一下几个方面:
?验证从非-途径接收的dhcp报文,并丢弃不符合要求的报文;
?生成并维护dhcp binding table 记录表;
?根据dhcp binding table 记录表中的信息来验证非-主机发来的dhcp报文。
前文提到,dhcp snooping是 dhcp 的一种安全特性,因此要了解dhcp snooping的工作原理,首先得认识dhcp动态主机配置协议。支持dhcp的网络设备需要完成以下四个步骤,才会从dhcp服务器获取到-。
dhcp snooping将交换机上的端口分为- trusted)和非- untrusted)两种类型。交换机只转发-端口的 dhcp offer/ack/nak报文,丢弃非-端口的 dhcp offer/ack/nak报文,从而达到阻断不- dhcp 服务器的目的。 如果启动了dhcp snooping,则dhcp服务器只能通过-端口发送dhcp offer报文。 否则,报文将被丢弃。
设备会根据ack报文中的信息生成一个dhcp绑定表。表中记录用户的mac地址、-、租约时间、类型、vlan、端口等信息。后续从非-用户发来的dhcp报文如不能在表中找到相应的匹配,则会被丢弃。
|
登录后台
