電腦插了網(wǎng)線,也能動態(tài)獲取-,可就是上不了網(wǎng)” 別著急,試試我們的捫心自問法:已經(jīng)獲取的-是否真實可用?是由-dhcp服務(wù)器分配的嗎?如果不是的話,那你可能就已掉入不-dhcp服務(wù)器的-。
dhcp snooping是 dhcp 的一種安全特性,常用于二層網(wǎng)絡(luò)。啟用了該功能的交換機(jī),可以屏蔽接入網(wǎng)絡(luò)中的不-的dhcp服務(wù)器,也就是說,網(wǎng)絡(luò)中的-只有從管理員規(guī)定的dhcp服務(wù)器獲取 ip 地址。dhcp snooping的主要工作涵蓋一下幾個方面:
?驗證從非-途徑接收的dhcp報文,并丟棄不符合要求的報文;
?生成并維護(hù)dhcp binding table 記錄表;
?根據(jù)dhcp binding table 記錄表中的信息來驗證非-主機(jī)發(fā)來的dhcp報文。
前文提到,dhcp snooping是 dhcp 的一種安全特性,因此要了解dhcp snooping的工作原理,首先得認(rèn)識dhcp動態(tài)主機(jī)配置協(xié)議。支持dhcp的網(wǎng)絡(luò)設(shè)備需要完成以下四個步驟,才會從dhcp服務(wù)器獲取到-。
dhcp snooping將交換機(jī)上的端口分為- trusted)和非- untrusted)兩種類型。交換機(jī)只轉(zhuǎn)發(fā)-端口的 dhcp offer/ack/nak報文,丟棄非-端口的 dhcp offer/ack/nak報文,從而達(dá)到阻斷不- dhcp 服務(wù)器的目的。 如果啟動了dhcp snooping,則dhcp服務(wù)器只能通過-端口發(fā)送dhcp offer報文。 否則,報文將被丟棄。
設(shè)備會根據(jù)ack報文中的信息生成一個dhcp綁定表。表中記錄用戶的mac地址、-、租約時間、類型、vlan、端口等信息。后續(xù)從非-用戶發(fā)來的dhcp報文如不能在表中找到相應(yīng)的匹配,則會被丟棄。
登錄后臺
