注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

欢迎光临shaying110的博客

RSed-ISPing

 
 
 

日志

 
 

DHCP SNOOPING  

2014-10-31 11:02:56|  分类: CISCO网络 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

若使用命令dhcp snooping enable使能了某一VLAN的DHCP Snooping功能,则VLAN内所有的接口均使能了DHCP Snooping功能。此时如果需要去使能一特定接口的DHCP Snooping功能,但是由于并不是在该接口下执行命令dhcp snooping enable,所以也不能通过命令undo dhcp snooping enable来去使能接口的DHCP Snooping功能。针对这种情况,可使用命令dhcp snooping disable去使能特定接口的DHCP Snooping功能。此后该接口下的用户将能够正常上线,但是却并不会生成DHCP动态绑定表。


执行命令dhcp snooping disable之后,在去使能接口的DHCP Snooping功能时将同时清除DHCP Snooping功能的相关配置以及DHCP Snooping动态绑定表;而执行命令undo dhcp snooping enable则仅去使能DHCP Snooping功能,DHCP Snooping功能的相关配置以及DHCP Snooping动态绑定表仍将保留。

执行命令undo dhcp snooping disable之后,则接口的DHCP Snooping功能仅恢复为设备的缺省情况即未使能状态,若要使能接口的DHCP Snooping功能,则需执行命令dhcp snooping enable


为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将接口设置为信任接口和非信任接口,信任接口正常转发接收到的DHCP报文,非信任接口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,将丢弃该报文。

直接或间接连接管理员信任的DHCP服务器的接口需要设置为信任接口,其他接口设置为非信任接口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。


在VLAN视图下执行此命令,则仅对加入该VLAN的接口收到的属于此VLAN的DHCP报文命令功能生效;在接口下执行该命令,则仅对该接口接收到的所有DHCP报文命令功能生效。


Option82选项记录了DHCP Client的位置信息。设备通过在DHCP请求报文中添加Option82选项,可将DHCP Client的位置信息发送给DHCP Server,从而使得DHCP Server能够根据Option82选项的内容为DHCP Client分配合适的IP地址和其他配置信息,并实现对客户端的安全控制。

使能在DHCP报文中添加Option82选项功能,分为Insert和Rebuild两种方式,使能方式不同设备对报文的处理也不同。
  • Insert方式:当设备收到DHCP请求报文时,若该报文中没有Option82选项,则插入Option82选项;若该报文中含有Option82选项,则判断Option82选项中是否包含remote-id,如果包含,则保持Option82选项不变,如果不包含,则插入remote-id。

  • Rebuild方式:当设备收到DHCP请求报文时,若该报文中没有Option82选项,则插入Option82选项;若该报文中含有Option82选项,则删除该Option82选项并插入管理员自己在设备上配置的Option82选项。

对于Insert和Rebuild两种方式,当设备接收到DHCP服务器的响应报文时,处理方式一致。

  • DHCP响应报文中有Option82选项:
    • 如果设备收到的DHCP请求报文中没有Option82选项,则设备将删除DHCP响应报文中的Option82选项,之后转发给DHCP Client。
    • 如果设备收到的DHCP请求报文中有Option82选项,则设备将DHCP响应报文中的Option82选项格式还原为DHCP请求报文中的Option82选项,之后转发给DHCP Client。
  • DHCP响应报文不含有Option82选项:直接转发。

设备在收到DHCP请求报文时首先会检测报文中的giadder字段是否为零,为零则命令dhcp option82 enable功能生效,否则不生效。

在VLAN视图下执行此命令,则对设备所有接口接收到的属于该VLAN的DHCP报文命令功能生效;在接口下执行该命令,则仅对该接口接收到的所有DHCP报文命令功能生效。

DHCP Option82必须配置在设备的用户侧,否则设备向DHCP Server发出的DHCP报文不会携带Option82选项内容。

前置条件

在使能DHCP报文中插入Option82选项功能之前,需确保设备已使能了DHCP Snooping功能或支持并已配置为DHCP Relay。

  评论这张
 
阅读(73)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018