電腦插了網線,也能動態獲取-,可就是上不了網” 別著急,試試我們的捫心自問法:已經獲取的-是否真實可用?是由-dhcp服務器分配的嗎?如果不是的話,那你可能就已掉入不-dhcp服務器的-。
dhcp snooping是 dhcp 的一種安全特性,常用于二層網絡。啟用了該功能的交換機,可以屏蔽接入網絡中的不-的dhcp服務器,也就是說,網絡中的-只有從管理員規定的dhcp服務器獲取 ip 地址。dhcp snooping的主要工作涵蓋一下幾個方面:
?驗證從非-途徑接收的dhcp報文,并丟棄不符合要求的報文;
?生成并維護dhcp binding table 記錄表;
?根據dhcp binding table 記錄表中的信息來驗證非-主機發來的dhcp報文。
前文提到,dhcp snooping是 dhcp 的一種安全特性,因此要了解dhcp snooping的工作原理,首先得認識dhcp動態主機配置協議。支持dhcp的網絡設備需要完成以下四個步驟,才會從dhcp服務器獲取到-。
dhcp snooping將交換機上的端口分為- trusted)和非- untrusted)兩種類型。交換機只轉發-端口的 dhcp offer/ack/nak報文,丟棄非-端口的 dhcp offer/ack/nak報文,從而達到阻斷不- dhcp 服務器的目的。 如果啟動了dhcp snooping,則dhcp服務器只能通過-端口發送dhcp offer報文。 否則,報文將被丟棄。
設備會根據ack報文中的信息生成一個dhcp綁定表。表中記錄用戶的mac地址、-、租約時間、類型、vlan、端口等信息。后續從非-用戶發來的dhcp報文如不能在表中找到相應的匹配,則會被丟棄。
登錄后臺
