飛速(FS) 3900系列交換機功能配置—DHCP Snooping
DHCP Snooping是DHCP的一種安全特性,該功能既可以防止假冒DHCP服務器向客戶端發送無效IP地址,也能通過報文匹配檢查來防止非法用戶向DHCP服務器索要IP地址,從而造成IP地址池的枯竭。飛速(FS)明星產品— 3900系列千兆可堆疊管理型交換機 ,可實現DHCP Snooping在二層設備上的綜合應用。
S3900系列交換機產品搭配請參閱:飛速(FS) S3900系列交換機兼容光模組和線纜
飛速(FS) 3900系列交換機DHCP Snooping的應用
DHCP Snooping功能常用於接入層。這裡用 飛速(FS) S3900-24F4S交換機 、服務器和一臺PC來簡要描述DHCP Snooping的工作方式。在局域網中,首先PC會以廣播的形式發出DHCP Discover報文,當局域網中服務器接收到Discover報文會應答Offer報文並攜帶可提供給PC使用的IP地址,常規情況下,PC會優先處理第一個接受到的Offer報文,假設此報文是由非法服務器發出的,PC就會獲得非法地址,對網絡造成危害。
DHCP Snooping信任功能能夠保證PC從合法服務器獲取IP地址。首先,它將交換機上的端口口分為信任端口和非信任端口。DHCP服務器響應的報文,要想順利到達終端用戶,只能通過信任端口來進行傳遞,而非信任端口收到的報文將會被丟棄。也就是說,在本案例中,PC只會接收來自合法DHCP服務器的DHCP Offer報文。
在首次請求IP地址的最後環節,DHCP服務器將含有IP地址信息的DHCP ACK報文通過單播的方式發送給PC,交換機會根據DHCP ACK報文信息生成一個DHCP Snooping綁定表,該綁定表會記錄DHCP ACK報文中的IP地址信息,PC的MAC地址信息和交換機的端口信息。而後續從用戶端接收到的DHCP報文若與綁定表中的信息不一致,將被丟棄。倘若此時,PC連接交換機的其他端口,或者將PC換成其他終端設備,將導致交換機端口信息或設備MAC地址信息的變化,所以這兩種情況都會導致用戶請求IP地址失敗。
注意:
通常情況下,開啟了DHCP Snooping 的交換機會上連至DHCP服務器,下連各種終端設備。在實際應用中,DHCP服務器可以是服務器、路由器、飛速(FS) S58系列交換機等;終端設備可以是電話座機、PC、無線AP等。鑒於多數終端設備還未升級到光口,通常使用銅線來連接終端和交換機。然而,線纜的種類還是要根據設備的要求來選擇。
飛速(FS) 3900系列交換機DHCP Snooping配置內容
飛速(FS) S3900系列交換機的DHCP Snooping功能配置可以通過命令行界面來實現。在命令行界面配置時,主要步驟如下:
-
創建VLAN,並在該VLAN上使能DHCP Snooping;
-
將連接了DHCP服務器和合法用戶的端口都加入到該VLAN中;
-
將連接了DHCP服務器的端口配置為信任端口,以確保信息的流通;
-
驗證配置。
通過命令行界面配置DHCP Snooping
以飛速(FS) S3900-24F4S交換機為例,具體命令步驟與命令解釋如下:
1. 進入全局配置模式
S3900-24F4S#configure terminal
2. 進入vlan模式,創建vlan 10
S3900-24F4S(config)#vlan database
S3900-24F4S(config-vlan)#vlan 10
S3900-24F4S(config-vlan)#exit
3. 進入接口模式,將(連接終端的)端口23設置為access工作模式並加入vlan 10
S3900-24F4S(config)#interface ethernet 1/23
S3900-24F4S(config-if)#switchport mode access
S3900-24F4S(config-if)#switchport access vlan 10
S3900-24F4S(config-if)#exit
4. 進入接口模式,將(連接DHCP服務器的)端口24設置為access工作模式加入vlan 10
S3900-24F4S(config)#interface ethernet 1/24
S3900-24F4S(config-if)#switchport mode access
S3900-24F4S(config-if)#switchport access vlan 10
S3900-24F4S(config-if)#exit
5. 進入全局配置模式,在vlan 10上配置DHCP Snooping
S3900-24F4S(config)#ip dhcp snooping
S3900-24F4S(config)#ip dhcp snooping vlan 10
6. 進入接口模式,將端口24設置為信任端口
S3900-24F4S(config)#interface ethernet 1/24
S3900-24F4S(config-if)#ip dhcp snooping trust
S3900-24F4S(config-if)#end
7. 檢查DHCP Snooping綁定表是否生成(若顯示如下信息,則代表配置成功)
S3900-24F4S#show ip dhcp snooping binding
相關文章推薦
郵箱地址
-
Cat5e、Cat6、Cat6a和Cat7網線有什麼區別?哪個更好?
2020年08月21日
-
一文帶你了解SFP、SFP+、SFP28、QSFP+和QSFP28之間的區別
2024年04月13日
-
OM1、OM2、OM3、OM4和OM5多模光纖有什麼區別?
2021年11月24日
-
SFP端口是什麼?有什麼作用?可以接RJ45嗎?
2020年09月15日
-
PCIe卡知識掃盲:你想了解的都在這裡
2020年03月24日