我們都知道現在很多單位都採用DHCP進行地址分配,但是如果出現普通用戶私接無線路由器分配錯誤的IP地址,導致不能訪問單位的內網設備的情況,今天的技術帖我們給大家介紹
DHCP Snooping防止私接無線路由器的情況。拓撲圖如下圖所示:
![有趣的DHCP的實驗配置,防止私接無線路由器](http://p2.ttnews.xyz/loading.gif)
某單位的DHCP1設備分配192.168.1.0/24網段的地址。下面的PC機獲取到的都是192.168.1.0/24網段的地址;而此時有用戶私接了一臺DHCP服務器分配的是192.168.2.0/24網段的地址。此時需要禁止PC機獲取到192.168.2.0/24網段的地址。
DHCP Snooping功能通過在交換機上配置信任端口,讓合法的DHCP服務器的報文能夠通過信任端口下發給終端用戶,這樣不是屬於信任端口的報文就不會下發給用戶。
配置如下所示:
DHCP1的配置
[DHCP 1]dhcp enable
[DHCP 1]dhcp server ip-pool h3c1
[DHCP 1-dhcp-pool-h3c1]network 192.168.1.0 24
[DHCP 1-dhcp-pool-h3c1]gateway-list 192.168.1.1
[DHCP 1]dhcp server forbidden-ip 192.168.1.1
DHCP2的配置
[DHCP 2]dhcp enable
[DHCP 2]dhcp server ip-pool h3c2
[DHCP 2-dhcp-pool-h3c2]network 192.168.2.0 24
[DHCP 2-dhcp-pool-h3c2]gateway-list 192.168.2.1
[DHCP 2]dhcp server forbidden-ip 192.168.2.1
SW的配置
[SW]dhcp snooping enable
[SW-GigabitEthernet1/0/1]dhcp snooping trust//配置DHCP Snooping的信任端口
在沒有配置DHCP Snooping技術之前,兩個終端的用戶分配的是不同網段的地址。
![有趣的DHCP的實驗配置,防止私接無線路由器](http://p2.ttnews.xyz/loading.gif)
通過配置DHCP Snooping之後,用戶分配的地址都是192.168.1.0/24的地址。
閱讀更多 王海軍老師 的文章