无线DHCP防御: 启用接入点受信任的DHCP服务器只转发受信任的DHCP响应,屏蔽不合法的DHCP服务器,适用于本地转发。每个接入点最多只支持10条受信任DHCP服务器。启用私设IP防御:在绝大部分的无线网络部署中,无线客户端都使用 DHCP 方式获取 IP 地址、网关、DNS等。因此,为了避免手动配置 IP 地址可能带来的 IP 冲突问题,系统提供了禁止配置静态 IP 地址的功能。启用此选项的额外好处是,可以阻止无线客户端进行 ARP 欺骗攻击。此选项仅支持集中转发的无线用户。
控制器DHCP防御:默认开启,防御DHCP泛洪攻击行为,防止DHCP地址池被耗尽。启用控制器受信任的 DHCP 服务器在绝大部分的无线网络部署中,无线客户端都使用 DHCP 方式获取 IP 地址、网关、DNS等。因此 DHCP 服务也被视为无线网络正常运行的基础。DHCP 服务基于广播方式运作,如果同一个子网内运行了多个 DHCP 服务器,则客户端发起 DHCP 请求后,会收到多个回应,客户端会选择回应最快消息中指定的 IP 地址。因此如果子网内存在非法的 DHCP 服务器,则会干扰正常的 DHCP 过程,客户端可能获取到错误的 IP 地址,导致无法访问网络。启用“控制器受信任的 DHCP 服务器”选项,并配置合法的 DHCP 服务器 IP 地址,网络控制器及接入点将只转发来自受信任 DHCP 服务器的 DHCP 报文,来自其它 IP 地址的 DHCP 服务报文将被丢弃,从而保证 DHCP 服务能正常运行,不受干扰。
【应用中心】-【边缘安全】-【流量安全】-【流量劫持防御】-【DHCP防御】
1)本地转发场景配置无线DHCP
2)集中转发场景配置控制器DHCP
1)本地转发配置无线DHCP防御,集中转发配置控制器DHCP防御。