前言
- DHCP Snooping 是一种 DHCP 安全特性。
- DHCP-Snooping 的主要作用就是通过配置信任 trust 和 untrust 非信任端口隔绝非法的 dhcp server.
- EdgeSwitch 支持在每个 VLAN 基础上启用 DHCP 监听特性从而拦截第二层 VLAN 域内的所有 DHCP 报文。
网络说明
- DHCP 服务器 192.168.1.1 派发 DHCP 192.168.1.10-192.168.1.200 的 IP 地址
- 配置 EdgeSwitch 的管理 IP 地址为 192.168.1.2/24
- DHCP 服务器按测试环境需求依次连接到 EdgeSwitch 端口 1(trust 端口)和端口 3(untrust 端口)
- 电脑直接到 EdgeSwitch 端口 24 来搭配不同的测试环境来确认 DHCP-IP 状况
EdgeSwitch 基础配置
1.电脑配置为 192.168.1.X/24 并通过 chrome 或 firefox 浏览器访问 EdgeSwitch 的默认管理 IP 地址 192.168.1.2
2.点击 System 菜单后选择 Connectivity
3.配置 EdgeSwitch 的管理 IP 地址/子网掩码/网关和所属 vlan-id
4.点击 save configuration 进行配置保存作业
EdgeSwitch 未开启 dhcp-snooping 前 DHCP-IP 测试
1.将 DHCP 服务器 192.168.1.1 接到 EdgeSwitch 的端口 3,电脑接到端口 24
2.电脑可正常获得 DHCP-IP 192.168.1.X/24
EdgeSwitch 开启 dhcp-snooping
1.在 EdgeSwitch 主界面选择 switching 菜单后再依次点击 DHCP Snooping 和 Base
2.进入 DHCP Snooping 的主界面,选择开启 dhcp-snooping 应用配置
3.点击 vlan configuration 配置要应用的 vlan,选择 add 进行添加 vlan 配置
4.这里是针对 vlan1 进行应用,用户可根据实际网络配置选择不同的 vlan 进行作业
5.配置 vlan 完成后即可查看 dhcp-snooping 的 vlan 配置信息
6.配置 trust 端口用于连接公司允许的 DHCP 服务器(默认开启 dhcp-snooping 后所有端口都为 untrust 端口) 这里选择配置端口 1 为 trust 端口
7.配置端口 1 为 trust 端口并按实际需求填写 dhcp 报文相关参数
8.查看 trust 和 untrust 端口明细
Edgeswitch 开启 DHCP-Snooping 后 DHCP-IP 测试
1.将 DHCP 服务器 192.168.1.1 接到 EdgeSwitch 的端口 3(Untrust 端口),电脑接到端口 24
2.停用启用电脑的网卡后,电脑无法 DHCP 获得 IP 地址
3.将 DHCP 服务器 192.168.1.1 接到 EdgeSwitch 的端口 1(trust 端口),电脑接到端口 24
4.电脑可正常获得 DHCP-IP 192.168.1.X/24
