DHCP snooping

✍ dations ◷ 2025-06-09 04:51:54 #TCP/IP,网络安全

DHCP Snooping是DHCP的一种安全特性,主要应用在交换机上。

作用是屏蔽接入网络中的非法的DHCP服务器。即开启 DHCP Snooping 功能后,网络中的客户端只有从管理员指定的DHCP服务器获取IP地址。由于DHCP报文缺少认证机制,如果网络中存在非法DHCP服务器,管理员将无法保证客户端从管理员指定的DHCP服务器获取合法地址,客户机有可能从非法DHCP服务器获得错误的IP地址等配置信息,导致客户端无法正常使用网络。

启用 DHCP Snooping 功能后,必须将 交换机 上的端口设置为信任(Trust)和非信任(Untrust)状态,交换机 只转发信任端口的 DHCP OFFER/ACK/NAK报文,丢弃非信任端口的DHCPOFFER/ACK/NAK 报文,从而达到阻断非法DHCP服务器的目的。建议将连接DHCP服务器的端口设置为信任端口,其他端口设置为非信任端口。

此外,DHCP Snooping还会监听经过本机的DHCP数据包,提取其中的关键信息并生成 DHCP Binding Table 记录表,一条记录包括IP、MAC、租约时间、端口、VLAN、类型等信息,结合 DAI(Dynamic ARP Inspection)和 IPSG(IP Source Guard)可实现ARP防欺骗和IP流量控制功能。

相关

  • 退伍军人症军团病,又名退伍军人症是由军团菌引发的非典型肺炎。 其症状包括咳嗽、呼吸困难、发热、肌肉疼痛、头痛。有时亦会发生恶心、呕吐、腹泻。军团病的症状通常在暴露后两到十天
  • 门部,为汉字索引中的部首之一,康熙字典214个部首中的第一百六十九个(八划的则为第三个)。就繁体中,门部归于八划部首,而简体中文则归在三划。门部只以上方包围为部字。且无其他部
  • 过氧酸过氧酸(peroxy acid),简称过酸,是分子中含有过氧基 -O-O- 的酸类。可以分为无机过氧酸和有机过氧酸两类。过氧酸(盐)主要由碳族、氮族和氧族元素的含氧酸(盐)所衍生出。但周期表中,第三
  • ISO 4缩写ISO 4(信息及文档——标题字词及出版物标题的缩写规则,英语:Information and documentation – Rules for the abbreviation of title words and titles of publications)是规定
  • Bambook锦书,英文名bambook,是盛大公司发布的一款基于E Ink技术的电子书阅读器,名称源自李清照一剪梅中的“云中谁寄锦书来”。锦书于2010年8月9日进行限量内测,于2010年9月28日正式发
  • 宗教分裂教派分裂(英语:Schism),也称宗教分裂是指一个宗教或宗派之中,因为信徒之间理念有不能同意的地方而分裂出不同的教派,在佛教、基督教、伊斯兰教等各大宗教里都有出现不同程度的分裂
  • 北洋五十将乞共和电《段祺瑞等要求共和电》,又称《乞共和电》,是1912年以段祺瑞为首的北洋军将领向清廷发出的两封要求实行共和的电报,即第一电《北洋五十将乞共和电》与第二电《乞共和第二电》。
  • 彼得一世岛彼得一世岛(俄语:Остров Петра I,挪威语:Peter I Øy),距南极洲边缘450公里一无人居住的火山岛岛屿。挪威对此有主权要求,但根据南极条约,此要求被冻结。该岛面积154平方
  • 柿霜柿霜,柿子采收干燥后,在柿干表皮产生的白色粉末。柿霜的形成是由于柿子在干燥过程中,柿子内含的糖分渗出后,结晶凝结于表皮而成,柿子愈干燥,其柿霜也释出愈多。柿霜可入药,本草纲目
  • 库蒙狸藻库蒙狸藻(学名:)为狸藻属一年生小型食虫植物。其种加词“”来源于印度库蒙(Kumaon)。其分布于不丹、缅甸、中国云南、印度和尼泊尔。库蒙狸藻岩生、附生或陆生于长满苔藓的岩石或