ip dhcp snooping
默认情况下交换机不会有dhcp snooping功能,所以下面接几个dhcp server,交换机都不知道。但是如果想做dhcp snooping功能,则在交换机的全局配置模式下敲:ip dhcp snooping。则此时默认每个接口都是untrust,即收到udp是67端口的包都会丢掉。(dhcp有四个包:1.client--dhcp server:discover,发现dhcp server在哪里,广播S:UDP 68,D:UDP 67。2.dhcp server--client:告诉它自己在哪里,S:UDP 67D:UDP 68。 3.server-client request S:UDP 68,D:UDP 67。 4.client-server:ResponseS:67,D:68)发现只要是SERVER发的都是67的包。 起了snooping后,每个接口都不允许接dhcp server,除非在接server的接口上做ip dhcp snooping trust.即可信任的,收到源自67和也接受(只看进来的包)。在接口下起用命令:ip verify source,即一个数据包过来进到接口,首先看源IP,源MAC,VLAN等信息和switch上表中存的是不是一致,一致才看目的是哪里,进行传输,如果源的信息与表中的不一致,则丢掉
Thanks for your information.
页:
[1]