配置了DHCP功能之后,部門內用戶主機可以自動獲取地址。但是為了防止員工在內網
私自接一個小路由器並開啟DHCP自動分配地址的功能,導致內網合法用戶獲取到了私
接的小路由器分配的地址而不能正常上網,還需要配置DHCP Snooping功能。
以下以部門A為例,說明DHCP Snooping的配置過程。
1. 在接入交換機ACC1上開啟DHCP Snooping功能。
<ACC1> system-view
[ACC1] dhcp enable //使能DHCP功能
[ACC1] dhcp snooping enable //使能DHCP Snooping功能
2. 在連接終端的接口上使能DHCP Snooping功能。
[ACC1] interface GigabitEthernet 0/0/1 //配置連接部門A的接口
[ACC1-GigabitEthernet0/0/1] dhcp snooping enable
[ACC1-GigabitEthernet0/0/1] quit
[ACC1] interface GigabitEthernet 0/0/2 //配置連接部門B的接口
[ACC1-GigabitEthernet0/0/2] dhcp snooping enable
[ACC1-GigabitEthernet0/0/2] quit
3. 在連接DHCP服務器的接口上使能DHCP Snooping功能,並將此接口配置為信任
接口。
[ACC1] interface GigabitEthernet 0/0/3 //配置連接CORE1的接口
[ACC1-GigabitEthernet0/0/3] dhcp snooping enable //使能DHCP Snooping功能
[ACC1-GigabitEthernet0/0/3] dhcp snooping trusted //配置為信任接口
[ACC1-GigabitEthernet0/0/3] quit
[ACC1] interface GigabitEthernet 0/0/4 //配置連接CORE2的接口
[ACC1-GigabitEthernet0/0/4] dhcp snooping enable
[ACC1-GigabitEthernet0/0/4] dhcp snooping trusted
[ACC1-GigabitEthernet0/0/4] quit
完成上述配置之后,部門A的用戶就可以從合法的DHCP服務器獲取IP地址,內網
私接的小路由器分配地址不會干擾到內網正常用戶。
為了防止部門內用戶私自更改IP地址后攻擊網絡,在接入交換機開啟DHCP
Snooping功能后,還需要開啟IP報文檢查功能,具體配置以ACC1為例。
4. 在接入交換機ACC1上開啟VLAN10的IP報文檢查功能。
[ACC1] vlan 10
[ACC1-vlan10] ip source check user-bind enable //使能IP報文檢查功能
[ACC1-vlan10] quit
這樣ACC1從VLAN10收到報文后會將報文與動態綁定表的表項進行匹配,放行匹
配的報文,丟棄不匹配的報文。如果不想對整個VLAN收到的報文進行檢查,可以
只在連接某個終端的接口上開啟IP報文檢查功能。