防止非法DHCP服务器:在企业网络中,合法的DHCP服务器负责为客户端分配IP地址、子网掩码、网关等网络配置信息。非法DHCP服务器可能导致客户端获取错误的配置,从而无法正常访问网络资源。DHCP Snooping通过识别并阻止非信任端口上的DHCP响应报文,确保客户端仅能从信任端口(通常是连接到合法DHCP服务器的端口)接收IP配置信息。
NAC3.13.0
简述配置此功能的几大步骤。
1、新增交换机dhcp snnoping策略
2、选择交换机信任端口
3、配置信任dhcp服务器IP信息
若安视交换机自己作为DHCP Server,无需选择信任端口,安视交换机接口默认为非信任口;可以只填写信任的DHCP Server地址。
。
安视交换机在 NAC 上被激活,在安视交换机上有一台私接 DHCP 服务器,为了不受私接路由器干扰,保证有线终端能正常获取DHCP Server 上的地址。安视交换机需开启 DHCP Snooping 功能,防止终端获取到错误的 IP 地址。
1、在【安全配置】→【流量安全】→【流量劫持防御】→【DHCP 防御】→【交换机DHCP防御】 中新增 DHCP Snooping 策略。
2、将安视交换机和 DHCP Server 级联的口改成信任口,其他接口默认为非信任口,表示只信任从DHCP Server来的DHCP报文;
3、信任地址填写DHCP Server的IP即可,如果有多个,则依次填写即可;
补充说明:私接路由器的mac地址为00-E0-76-01-7B-DC,下发的是192.168.123.0/24地址段,dhcp server的mac地址为D4-68-BA-11-31-2A,下发的是192.168.40.0/24地址段
启用dhcp snnoping前,交换机eth3口收到私接路由器的dhcp应答报文之后,将报文转发至终端,导致终端获取到错误的地址。
交换机eth3口报文
终端获取到了私接路由器错误地址
启用dhcp snnoping后,交换机上联口收到私接路由器的dhcp应答报文之后,没有把报文转发至终端。
交换机eth3口报文,发现虽然dhcp获取过程只进行到了前2部分
交换机连接终端端口报文,虽然私接路由器也回复了dhcp报文,但是交换机并没有把路由器的dhcp应答报文转发给PC。
