當(dāng)ARP遇到DHCP Snooping
我們對于DHCP Snooping的學(xué)習(xí)也有了一段時(shí)間了。那么DHCP Snooping是DHCP處理安全問題的一道屏障。那么我們今天來看一下ARP以及DHCP Snooping的內(nèi)容。
DHCP Snooping和ARP探測的關(guān)系
ARP 探測就是對經(jīng)過設(shè)備的所有 ARP 報(bào)文進(jìn)行檢查, DHCP Snooping需要提供數(shù)據(jù)庫信息供 ARP 探測使用,在開啟 DAI 功能的設(shè)備上,當(dāng)收到 ARP報(bào)文時(shí),DAI 模塊就根據(jù)報(bào)文查詢 DHCP snooping的綁定數(shù)據(jù)庫,只有當(dāng)收到得 ARP 報(bào)文得 mac、ip 和端口信息都匹配時(shí)才認(rèn)為收到的 ARP 報(bào)文是合法的,才進(jìn)行相關(guān)的學(xué)習(xí)和轉(zhuǎn)發(fā)操作,否則丟棄該報(bào)文。
DHCP Snooping配置的其他注意事項(xiàng)
DHCP Snooping功能與 1x的 DHCP Option 82 功能是互斥的,即不能同時(shí)使用
DHCP Snooping和 DHCP Option82
DHCP Snooping僅對用戶的DHCP過程進(jìn)行窺探,若想控制用戶必須使用DHCP分配的 IP 上網(wǎng), 則必須使用 ARP 探測功能,而 ARP 檢測模塊需要檢測所有 ARP報(bào)文,所以會對設(shè)備的整體性能產(chǎn)生影響,需要用戶注意。
配置打開和關(guān)閉DHCP Snooping
缺省情況下,設(shè)備的 DHCP Snooping 功能是關(guān)閉,當(dāng)配置 ip dhcp snooping 命令后,設(shè)備就打開了 dhcp snooping 功能,開始對 dhcp報(bào)文進(jìn)行監(jiān)控。
- switch# configure terminal //進(jìn)入配置模式
- switch(config)# [no] ip dhcp snooping DHCP snooping //打開和關(guān)閉
下邊是配置打開設(shè)備 DHCP snooping功能:
- switch# configure terminal
- switch(config)# ip dhcp snooping
- switch(config)# end
- switch#
配置DHCP源MAC檢查功能
配置此命令后,設(shè)備就會對 UNTRUST 口送上來的 DHCP Request 報(bào)文進(jìn)行源MAC和 Client 字段的 MAC地址校驗(yàn)檢查,丟棄 MAC值不相同的不合法的報(bào)文。默認(rèn)不檢查。
- switch# configure terminal //進(jìn)入配置模式
- switch(config)# [no]ip dhcp snooping
- verify mac-address
