更新时间:2024-12-25
1. 功能简介
为了保证有线终端能正常获取 NAC 上的地址,安视交换机需要开启 DHCP Snooping 功能,防止终端获取到错误的 IP 地址。
2. 配置指导
2.1. 场景一:瘦模式交换机
2.1.1. 网络拓扑
安视交换机在 NAC 上被激活,在安视交换机上有一台私接 DHCP 服务器,为了不受私接路由器干扰,保证有线终端能正常获取DHCP Server 上的地址。安视交换机需开启 DHCP Snooping 功能,防止终端获取到错误的 IP 地址。
TIPS:默认安视交换机已经激活在NAC。
2.1.2. DHCP Snooping配置
- 在【安全配置】→【流量安全】→【流量劫持防御】→【DHCP 防御】→【交换机DHCP防御】 中新增 DHCP Snooping 策略。
- 将安视交换机和 DHCP Server 级联的口改成信任口,其他接口默认为非信任口,表示只信任从DHCP Server来的DHCP报文;
- 信任地址填写DHCP Server的IP即可,如果有多个,则依次填写即可;
2.2. 场景二:胖模式交换机
2.2.1. 网络拓扑
安视交换机无NAC独立使用,为了防止私接 DHCP 服务器造成网络干扰,保证有线终端能正常获取DHCP Server 上的地址。安视交换机需开启 DHCP Snooping 功能,防止终端获取到错误的 IP 地址。
2.2.2. DHCP Snooping配置
- 在【流控与安全】→【DHCP安全】→【DHCP欺骗防御】中勾选并开启 DHCP Snooping 策略。
- 将安视交换机和 DHCP Server 级联的口添加为信任口,其他接口默认为非信任口,表示只信任从DHCP Server来的DHCP报文;
- 信任地址填写DHCP Server的IP即可,如果有多个,则依次填写即可;
3. 注意事项
TIPS:若安视交换机自己作为DHCP Server,无需选择信任端口,安视交换机接口默认为非信任口;可以只填写信任的DHCP Server地址。
