關於dhcp snooping 配置命令的補充說明,查閱了很多資料和實驗,以及參考了網上朋友的理解,現對ip dhcp snooping information option提一些我的理解和看法.
ip dhcp snooping information option的作用是:設置交換機是否爲非信任端口收到的dhcp報文插入Option 82,默認即爲開啓狀態.
正如我上一篇文章提到的,交換機會在dhcp request報文中插入option 82字段,作爲中繼代理,支持option 82功能的dhcp服務器接收到報文後,根據報文中option 82信息分配IP地址和其它配置信息給客戶端,dhcp中繼代理收到服務器應答報文後,剝離其中的option 82選項並根據選項中的物理端口信息,把應答報文轉交到網絡接入設備的指定端口。
默認ip dhcp snooping information option是打開的,與這條命令相關的一條命令,ip dhcp snooping information option allow-untrusted,默認是關閉的,作用是設置匯聚層交換機將接收從untrusted端口收到的接入交換機發來的帶有選項82的dhcp報文;
還有補充一點的就是IPSG有2種級別的IP流量安全過濾,源IP地址、源IP和MAC地址過濾;
在使用源IP和MAC地址過濾的時候必須啓用dhcp snooping option 82.因爲沒有option 82的數據,交換機就不能確定客戶端主機的端口,dhcp offer將被丟棄,客戶就不能獲得地址.命令 ip verify source vlan dhcp-snooping port-security以源IP和MAC地址過濾方式啓動IPSG.交換機使用 port security來過濾源MAC地址. 當交換機只使用“IP源地址過濾”時,IP源防護功能與端口安全功能是相互獨立的關係,端口安全是否開啓對於IP源防護功能來說不是必須的.如果同時開啓,則兩者也只是一種寬鬆的合作關係,IP源防護防止IP地址欺騙,端口安全防止MAC地址欺騙,而當交換機使用“源IP和源MAC地址過濾”時,IP源防護功能與端口安全功能是就變成了一種"集成"關係,更確切的說是端口安全功能被集成到IP源防護功能裏,作爲IP源防護的一個必須的組成部分.