DHCP Snooping的基本原理:
開啓了DHCP Snooping的設備將用戶(DHCP客戶端)的DHCP請求報文通過信任接口發送給合法的DHCP服務器。之後設備根據DHCP服務器迴應的DHCP ACK報文信息生成DHCP Snooping綁定表。後續設備再從開啓了DHCP Snooping的接口接收用戶發來的DHCP報文時,會進行匹配檢查,能夠有效防範非法用戶的攻擊。
簡單一句話,就是IP地址只能從我指定的信任接口獲取,其它接口發過來的報文我都不信任,不接受,也不分配IP地址。
SW1
<Huawei>system-view //進入視圖模式
[Huawei]undo info-center enable //關閉告警提示
[Huawei]dhcp enable //開啓DHCP服務
[Huawei]dhcp snooping enable //開啓DHCP snooping服務
[Huawei]interface g0/0/4 //進入接口
[Huawei-GigabitEthernet0/0/4]dhcp snooping enable //在接入層的所有端口開啓
[Huawei-GigabitEthernet0/0/4]interface g0/0/3 //進入接口
[Huawei-GigabitEthernet0/0/3]dhcp snooping enable //在接入層的所有端口開啓
[Huawei-GigabitEthernet0/0/3]quit //退出
[Huawei]interface g0/0/1 //進入接口
[Huawei-GigabitEthernet0/0/1]dhcp snooping trusted //在接DHCP服務器或者中繼端口開啓端口信任,只有這個端口分配過來的IP我纔會接受。
[Huawei-GigabitEthernet0/0/1]quit //退出
[Huawei]