dhcp查询频率是什么意思,什么属于dhcp的缺点( 二 )_dhcp

switch(config-Vlan20)#ip address 10.1.2.1 255.255.255.0 配置IP地址switch(config-Vlan20)#ip help-address 10.1.1.1 指定dhcp中继转发UDP报文的目的地址
switch(config-Vlan20)#exit

文章插图
五、Dhcp Snooping
DHCP Snooping 功能指交换机监测 DHCP CLIENT 通过 DHCP 协议获取 IP 的过程。它通过设置信任端口和非信任端口，来防止 DHCP 攻击及私设 DHCP SERVER 。
从信任端口接收的 DHCP 报文无需校验即可转发。典型的设置是将信任端口连接 DHCP SERVER 或者 DHCP RELAY 代理。非信任端口连接 DHCP CLIENT，交换机将转发从非信任端口接收的 DHCP 请求报文，不转发从非信任端口接收的 DHCP 回应报文。
如果从非信任端口接收DHCP 回应报文，除了发出告警信息外，并可根据设置对该端口执行相应的动作，比如shutdown、下发 blackhole 。
如果启用了 DHCP Snooping 绑定功能，则交换机将会保存非信任端口下的 DHCP CLIENT 的绑定信息，每一条绑定信息包含该 DHCP CLIENT 的 MAC地址、 IP 地址、租期、 VLAN 号和端口号，这些绑定信息存放于 DHCP Snooping 的绑定表。

文章插图
如上图：
1、Mac-AA 设备为正常用户，连接在交换机非信任端口 1/1 上，其通过 DHCP Client获得 IP 1.1.1.5；
2、DHCP Server 和 GateWay 分别连接在交换机的信任端口 1/11 ; 1/12 上；恶意用户 Mac-BB 连接在非信任端口 1/10 上，试图伪装 DHCP Server（发送 DHCPACK）。
3 、在交换机上设置 DHCP snooping 将能有效发现并阻止这种网络攻击。

文章插图
交换机配置为：
switch#
switch#config
switch(config)#ip dhcp snooping enable 开启dhcp侦听功能
switch(config)#interface ethernet 1/11
switch(Config-Ethernet1/11 )#ip dhcp snooping trust 设置信任端口
switch(Config-Ethernet1/11 )#exit
switch(config)#interface ethernet 1/12
switch(Config-Ethernet1/12)#ip dhcp snooping trust 设置信任端口
switch(Config-Ethernet1/12)#exit
switch(config)#interface ethernet 1/1 -10
switch(Config-Port-Range)#ip dhcp snooping action shutdown 其余端口收到dhcp服务时直接阻塞端口
【dhcp查询频率是什么意思,什么属于dhcp的缺点】switch(Config-Port-Range)#