DHCP snooping 可以有两个端口,信任端口和不信任端口,在交换机上连接正确DHCP 服务器可以配置信任端口,可以通过DHCP所有的报文,这样就行了,不信任端口怎么用,如果其他接口都配置不信任,那连接pc用户的端口也无法获取获取ip地址,因为不信任端口只能通过 DHCP Discover 报文,那DHCP Request就无法通过不信任端口,所在连接用户的接口上就不能配置不信任,有点懵,求解答一下
不知道你这个问题是否已经解决, 如果还没有解决的话:回答:
使用不信任端口时,我们可以通过配置一些例外规则来确保连用户能够获取IP地址,同时保持网络的安全性。
以下是一个示例配置:
首先,将所有接口都配置为不信任端口。
``` switchport mode access
interface range GigabitEthernet1/0/1-10 switchport mode access no dhcp snooping trust ```
接下来,配置例外规则以允许DHCP Request报文通过不信任端口。
``` ip dhcp snooping ip dhcp snooping vlan 10 ip dhcp snooping vlan 20
interface range GigabitEthernet1/0/1-10 ip dhcp snooping limit rate 10
ip dhcp snooping option 82 ```
以上配置将VLAN 10和VLAN 20视为需要提供IP地址的VLAN。你可以根据你的网络配置进行修改。
配置DHCP Snooping Binding数据库,将已经分配的IP地址与对应的MAC地址进行绑定。这样在DHCP Snooping过程中,交换机将根据Binding数据库来判断是否要向设备分配IP地址。
``` ip dhcp snooping database flash:dhcp-snooping-binding
ip dhcp snooping vlan 10-20 ```
以上配置将DHCP Snooping Binding数据库存储在交换机的闪存中,并在VLAN 10和VLAN 20上启用DHCP Snooping。
通过以上配置,你可以实现以下目标:
保护网络免受恶意的DHCP服务器攻击,因为只有信任端口连接的DHCP服务器会被交换机接受。
允许连接到交换机的用户获取IP地址,因为例外规则允许DHCP Request报文通过不信任端口。
使用DHCP Snooping Binding数据库对已经分配的IP地址进行控制,提高网络的安全性。
请注意,以上示例配置可能需要根据你的网络环境进行修改。建议在实际部署之前,仔细调查和验证你的网络需求和配置。如果你对配置流程有任何疑问,建议参考你使用的交换机设备的官方文档或咨询厂商提供的支持。
不是,相当于是可以让不信任去信任你网络上层的dhcp服务器。但是服务器并不是在下面设备上,而且这个信任端口是开在连接服务器的端口以及各个设备上联的设备上的,并不是对用户使用的,相当于是让设备知道该允许哪个设备
DHCP-snooping所起到的的作用就是只有指定端口才接受主机发送的dhcpdiscover广播包(dhcp广播消息仅转发给信任端口),并且只有指定的端口才可以接收DHCP的offer,并转发出去。而不向其他非信任端口转发discover消息,避免环境中其他的dhcp服务器乱回offer消息造成dhcp失败。
非信任的端口接受不到别的端口转发发来的discover消息,但能接受自己下挂设备发来的dhcp广播消息,并转发给信任的端口。信任的端口能接受offer之类的消息,并转发给discover发出方。
其实就两点,非信任口只能向交换机其他接口发出广播消息discover和request消息,而且是和自身mac地址一致的。Discover和request只能被转发到信任的端口,其他非信任的端口收不到。信任的端口能接收offer和ack消息,并单播转发给对应端口。就是二层广播消息不泛洪发出了。而且非信任端口不发offer和ack的服务器消息。