DHCP Snooping的基本原理:
开启了DHCP Snooping的设备将用户(DHCP客户端)的DHCP请求报文通过信任接口发送给合法的DHCP服务器。之后设备根据DHCP服务器回应的DHCP ACK报文信息生成DHCP Snooping绑定表。后续设备再从开启了DHCP Snooping的接口接收用户发来的DHCP报文时,会进行匹配检查,能够有效防范非法用户的攻击。
简单一句话,就是IP地址只能从我指定的信任接口获取,其它接口发过来的报文我都不信任,不接受,也不分配IP地址。
SW1
<Huawei>system-view //进入视图模式
[Huawei]undo info-center enable //关闭告警提示
[Huawei]dhcp enable //开启DHCP服务
[Huawei]dhcp snooping enable //开启DHCP snooping服务
[Huawei]interface g0/0/4 //进入接口
[Huawei-GigabitEthernet0/0/4]dhcp snooping enable //在接入层的所有端口开启
[Huawei-GigabitEthernet0/0/4]interface g0/0/3 //进入接口
[Huawei-GigabitEthernet0/0/3]dhcp snooping enable //在接入层的所有端口开启
[Huawei-GigabitEthernet0/0/3]quit //退出
[Huawei]interface g0/0/1 //进入接口
[Huawei-GigabitEthernet0/0/1]dhcp snooping trusted //在接DHCP服务器或者中继端口开启端口信任,只有这个端口分配过来的IP我才会接受。
[Huawei-GigabitEthernet0/0/1]quit //退出
[Huawei]
