DHCP Snooping的作用:1、與交換器DAI的配合,防止ARP病毒的傳播;2、透過建立信任端口和非信任端口,對非法DHCP伺服器進行隔離,信任端口正常轉發DHCP數據包,非信任連接埠收到的伺服器回應做丟包處理,不進行轉送。
DHCP Snooping是 DHCP 的安全特性,主要應用在 交換器 上,作用是屏蔽存取網路中的非法的 DHCP 伺服器。即開啟 DHCP Snooping 功能後,網路中的用戶端只有從管理員指定的 DHCP 伺服器取得 IP 位址。
由於 DHCP 封包缺乏認證機制,如果網路中存在非法 DHCP 伺服器,管理員將無法保證客戶端從管理員指定的 DHCP伺服器取得合法位址,客戶機有可能從非法 DHCP 伺服器獲得錯誤的 IP 位址等設定訊息,導致客戶端無法正常使用網路。
啟用DHCP Snooping 功能後,必須將 交換器上的連接埠設定為信任(Trust)和非信任(Untrust)狀態,交換器 只轉送信任連接埠的DHCP OFFER/ACK/NAK封包,丟棄非信任連接埠的DHCP OFFER/ACK/NAK 封包,從而達到阻斷非法 DHCP 伺服器的目的。
建議將連接 DHCP 伺服器的連接埠設定為信任端口,其他連接埠設定為非信任連接埠。此外DHCP Snooping 也會監聽經過本機的 DHCP 封包,擷取其中的關鍵資訊並產生DHCP Binding Table 記錄表,一筆記錄包括 IP、MAC、租約時間、連接埠、VLAN、類型等信息,結合DAI(Dynamic ARP Inspection)和IPSG(IP Source Guard)可實現ARP防欺騙和IP流量控制功能。
dhcp snooping的作用
1、dhcp-snooping的主要功能就是隔絕非法的dhcp server,透過設定非信任連接埠。
2、與交換器DAI的配合,防止ARP病毒的傳播。
3、建立和維護一張dhcp-snooping的綁定表,這張表一是透過dhcp ack包中的ip和mac位址產生的,二是可以手工指定。這張表是後續DAI(dynamic arp inspect)和IPSource Guard 基礎。這兩種類似的技術,是透過這張表來判定ip或mac位址是否合法,來限制使用者連接到網路的。
4、透過建立信任端口和非信任端口,對非法DHCP伺服器進行隔離,信任端口正常轉發DHCP數據包,非信任端口收到的伺服器響應的DHCP offer和DHCPACK後,做丟包處理,不進行轉發。
以上是dhcp snooping的作用是什麼?的詳細內容。更多資訊請關注PHP中文網其他相關文章!