- 积分
- 521
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 最后登录
- 1970-1-1
- 阅读权限
- 40
- 听众
- 收听
中级工程师
   
|
默认情况下交换机不会有dhcp snooping功能,所以下面接几个dhcp server,交换机都不知道。但是如果想做dhcp snooping功能,则在交换机的全局配置模式下敲:ip dhcp snooping。则此时默认每个接口都是untrust,即收到udp是67端口的包都会丢掉。(dhcp有四个包:1.client--dhcp server:discover,发现dhcp server在哪里,广播S:UDP 68,D:UDP 67。2.dhcp server--client:告诉它自己在哪里,S:UDP 67 D:UDP 68。 3.server-client request S:UDP 68,D:UDP 67。 4.client-server:Response S:67,D:68)发现只要是SERVER发的都是67的包。 起了snooping后,每个接口都不允许接dhcp server,除非在接server的接口上做ip dhcp snooping trust.即可信任的,收到源自67和也接受(只看进来的包)。
在接口下起用命令:ip verify source,即一个数据包过来进到接口,首先看源IP,源MAC,VLAN等信息和switch上表中存的是不是一致,一致才看目的是哪里,进行传输,如果源的信息与表中的不一致,则丢掉
|
|