色l情午夜片久久国产av_99久久国日韩精品福利片午夜免费观着_2021最新手机在线观看视频_啪啪免费无码高清_婷婷六月激情在线综合_制服丝袜日韩国产_中文字幕在线看片_日本免费高清一本视频_小草影院亚洲私人影院_国产熟女凹凸视频

您好,歡迎訪(fǎng)問(wèn)飛暢科技官網(wǎng)!
全國服務(wù)熱線(xiàn):+086 0571-87007055/56/57 EN

我們只專(zhuān)注于傳輸與接入

WE ONLY FOCUS ON TRANSMISSION AND ACCESS

聯(lián)系我們CONTACT US

全國咨詢(xún)熱線(xiàn)

0571-87007055/56/57/75

傳真:0571-87007140

手機:15306818230(微信)

QQ :2355416925

定制設計:18072828031(微信)

或給我們留言

在線(xiàn)留言

干貨——交換機DHCP Snooping配置詳解

瀏覽次數:發(fā)布時(shí)間:2022-11-09

DHCP Snooping 介紹

DHCP Snooping 技術(shù)是 DHCP 安全特性,通過(guò)建立和維護 DHCP Snooping 綁定表過(guò)濾不信任的 DHCP 信息,這些信息是來(lái)自不信任區域的 DHCP 信息。DHCP Snooping 綁定表包含不信任區域的用戶(hù) MAC 地址、IP 地址、租約期、VLAN-ID 接口等信息。
 

DHCP Snooping 具體作用


● dhcp snooping 的主要作用就是隔絕非法的 dhcp server,通過(guò)配置信任端口對合法的 dhcp server 發(fā)送的報文進(jìn)行正常接收并轉發(fā) dhcp offer 報文,對于非信任端口接收到的 dhcp offer 報文直接丟棄。
●與交換機 DAI 的配合,防止 ARP 病毒的傳播。
●建立和維護一張 dhcp-snooping 的綁定表,這張表一是通過(guò) dhcp ack 包中的 ip 和
mac 地址生成的,二是可以手工指定。這張表是后續 DAI(dynamic arp inspect)和 IPSource Guard 基礎。這兩種類(lèi)似的技術(shù),是通過(guò)這張表來(lái)判定 ip 或者 mac 地址是否合法,來(lái)限制用戶(hù)連接到網(wǎng)絡(luò )的。
●通過(guò)建立信任端口和非信任端口,對非法 DHCP 服務(wù)器進(jìn)行隔離,信任端口正常轉發(fā)
DHCO 數據包,非信任端口收到的服務(wù)器響應的 DHCP offer 和 DHCPACK 后,做丟包處理, 不進(jìn)行轉發(fā)。


DHCP Snooping 技術(shù)介紹


DHCP 監聽(tīng)將交換機端口劃分為兩類(lèi):
●非信任端口:通常為連接終端設備的端口,如 PC,網(wǎng)絡(luò )打印機等
●信任端口:連接合法 DHCP 服務(wù)器的端口或者連接匯聚交換機的上行端口
通過(guò)開(kāi)啟 DHCP 監聽(tīng)特性,交換機限制用戶(hù)端口(非信任端口)只能夠發(fā)送 DHCP 請求, 丟棄來(lái)自用戶(hù)端口的所有其它 DHCP 報文,例如 DHCP Offer 報文等。而且,并非所有來(lái)自用戶(hù)端口的 DHCP 請求都被允許通過(guò),交換機還會(huì )比較 DHCP 請求報文的(報文頭里的)源
MAC 地址和(報文內容里的)DHCP 客戶(hù)機的硬件地址(即 CHADDR 字段),只有這兩者相同的請求報文才會(huì )被轉發(fā),否則將被丟棄。這樣就防止了 DHCP 耗竭攻擊。
信任端口可以接收所有的 DHCP 報文。通過(guò)只將交換機連接到合法 DHCP 服務(wù)器的端口設置為信任端口,其他端口設置為非信任端口,就可以防止用戶(hù)偽造 DHCP 服務(wù)器來(lái)攻擊網(wǎng)絡(luò )。DHCP 監聽(tīng)特性還可以對端口的 DHCP 報文進(jìn)行限速。通過(guò)在每個(gè)非信任端口下進(jìn)行限速,將可以阻止合法 DHCP 請求報文的廣播攻擊。
DHCP 監聽(tīng)還有一個(gè)非常重要的作用就是建立一張 DHCP 監聽(tīng)綁定表(DHCP Snooping Binding)。一旦一個(gè)連接在非信任端口的客戶(hù)端獲得一個(gè)合法的 DHCP Offer,交換機就會(huì )自動(dòng)在 DHCP 監聽(tīng)綁定表里添加一個(gè)綁定條目,內容包括了該非信任端口的客戶(hù)端 IP 地址、MAC 地址、端口號、VLAN 編號、租期等信息。


option82


當 DHCP 服務(wù)器和客戶(hù)端不在同一個(gè)子網(wǎng)內時(shí),客戶(hù)端要想從 DHCP 服務(wù)器上分配到 IP 地址,就必須由 DHCP 中繼代理(DHCP Relay Agent)來(lái)轉發(fā) DHCP 請求包。DHCP 中繼代理將客戶(hù)端的 DHCP 報文轉發(fā)到 DHCP 服務(wù)器之前,可以插入一些選項信息,以便 DHCP 服務(wù)器能更精確的得知客戶(hù)端的信息,從而能更靈活的按相應的策略分配 IP 地址和其他參數。這個(gè)選項被稱(chēng)為:DHCP relay agent information option(中繼代理信息選項),選項號為82,故又稱(chēng)為 option 82,相關(guān)標準文檔為 RFC3046。
Option 82 是對 DHCP 選項的擴展應用。選項 82 只是一種應用擴展,是否攜帶選項 82 并不會(huì )影響 DHCP 原有的應用。另外還要看 DHCP 服務(wù)器是否支持選項 82。不支持選項 82 的 DHCP 服務(wù)器接收到插入了選項 82 的報文,或者支持選項 82 的 DHCP 服務(wù)器接收到了沒(méi)有插入選項 82 的報文,這兩種情況都不會(huì )對原有的基本的 DHCP 服務(wù)造成影響。要想支持選項 82 帶來(lái)的擴展應用,則 DHCP 服務(wù)器本身必須支持選項 82 以及收到的 DHCP 報文必須被插入選項 82 信息。


全局設置


配置步驟


1.在導航欄中選擇[管理設置/DHCP snooping/全局設置],進(jìn)入 DHCP snooping[全局設置]界面。
2.在 DHCP snooping[全局設置]界面中可以查看 DHCP snooping 的全局配置信息。
3.如需修改 DHCP snooping 的全局配置,可在 DHCP snooping 全局配置框中修改相應配置,然后單擊<應用>。
DHCP snooping 全局設置界面


配置項說(shuō)明 


配置項 說(shuō)明
管理狀態(tài) DHCP snooping全局使能開(kāi)關(guān):
開(kāi)啟:使能DHCP snooping功能;
關(guān)閉:關(guān)閉DHCP snooping功能。
注:默認為關(guān)閉。 

端口設置


配置步驟 


1.在導航欄中選擇[管理設置/DHCP snooping/端口設置],進(jìn)入 DHCP snooping[端口設置]界面。 
2.在 DHCP snooping[端口設置]界面中可以查看 DHCP snooping 的端口配置。
3.如需修改某個(gè)端口的 DHCP snooping 配置,單擊對應端口顯示欄后的<修改>按鈕,進(jìn)入端口配置界面。 
4.選擇或填寫(xiě)需要修改的配置項,單擊<應用>生效,如配置項填寫(xiě)有誤,會(huì )有相應的提示。
DHCP snooping 端口設置界面

 

配置項說(shuō)明 


配置項 說(shuō)明
端口 端口名稱(chēng)信息。
信任 端口的信任:
是:設置端口為信任端口; 
否:設置端口為非信任端口。
注:端口默認為否。
代理電路ID 設置端口的代理電路ID,默認采用全局的代理電路ID。
代理遠程ID 設置端口的代理遠程ID,默認采用全局的代理遠程ID。

綁定表


配置步驟


1.在導航欄中選擇[管理設置/DHCP snooping/綁定表],進(jìn)入 DHCP snooping[綁定表] 界面。 
2.在 DHCP snooping[綁定表]界面中可以查看所有的綁定表相關(guān)信息。 
3.單擊<刷新>,更新查看所有的 DHCP snooping 綁定表信息。 
 DHCP snooping 綁定表界面


總結:
以上內容就是飛暢科技關(guān)于交換機DHCP Snooping配置詳解的相關(guān)詳細介紹,希望能對大家有所幫助!杭州飛暢科技有限公司主營(yíng):電話(huà)光端機、PDH/SDH光端機、工業(yè)交換機、光纖收發(fā)器、協(xié)議轉換器、物理隔離網(wǎng)絡(luò )光端機、多業(yè)務(wù)光端機、音頻光端機、視頻光端機、TDM over IP、PCM語(yǔ)音接入、光纖貓等傳輸與接入設備。自主研發(fā)品牌,價(jià)格優(yōu)惠,歡迎前來(lái)了解、交流,咨詢(xún)熱線(xiàn):0571-8700-7140。
EN