一个关于DHCP SNOOPING的思考q

gbcbooks

coresh 发表于 2015-2-7 22:43
我看是LZ理解上出现问题

我不知道说什么，虽然我没有去看IEEE的标准文档，不过，我从CCNP SWITCH 642-813里找了一下相关的字段。


我划了横线的地方写
不可信端口不应该发送任何DHCP服务器应答消息，比如DHCPOFFER，DHCPACK或DHCPNACK。

就是说，上面这句话，应该只是我们在做网络规划上的一个设计思路，
实际上，untrust只是对dhcp的discover报文在出方向做了限制，进方向和其它DHCP报文其实是没有限制的？

eyesforever

gbcbooks 发表于 2015-2-8 00:48
我不知道说什么，虽然我没有去看IEEE的标准文档，不过，我从CCNP SWITCH 642-813里找了一下相关的字段。
...

默认所有端口都是非信任端口，将连接DHCP服务器的端口配置成信任端口后就能获取地址。
如果非信任端口不能发送offer的话，那地址是如何获取的？
书上的理论可能是没错，但是表达方式可能不严谨，尽信书不如无书，搞技术还是以实践去验证理论，我上面几楼总结的都是以前我在真机上一点点试出来的。

gbcbooks

eyesforever 发表于 2015-2-8 13:01
默认所有端口都是非信任端口，将连接DHCP服务器的端口配置成信任端口后就能获取地址。
如果非信任端口不 ...

这个，我也做了实验，不过用的是IOU，真机现在没有环境。
结果，确实是untrust上可以收进discover,但不能发出/转发出discover, 其它报文都是可以通行的。

然后对于书上讲的，我解理的，我们在建网时，是不希望在untrust上收到offer 和ack的，然后想法去限制不让untrust去发出/转发出discover，自然的，这个untrust就不会发出offer了。书上讲的，应该是把整个设想讲了出来。

eyesforever

gbcbooks 发表于 2015-2-8 16:23
这个，我也做了实验，不过用的是IOU，真机现在没有环境。
结果，确实是untrust上可以收进discover,但不 ...

你理解过度了。
其实dhcp snooping是典型的企业网安全技术
也就是怕有一台非法的DHCP服务器接入这个广播域，然后分发错误的地址和网关，照成网络不通，或者更恶劣的，就是将流量引到自身（下发网关为自己IP），然后转出去，从而盗取数据信息。
dhcp snooping通过人为的配置trust接口，使得合法的DHCP服务器才能分发地址给下面的主机。在一个作用就是生成DHCP绑定表，结合其他安全特性使用
建议你去看看思科官网的文档，直接读英文理解会更准确，不会因为翻译的问题照成误解
http://www.cisco.com/c/en/us/td/ ... es/config/dhcp.html

eyesforever

gbcbooks 发表于 2015-2-8 16:23
这个，我也做了实验，不过用的是IOU，真机现在没有环境。
结果，确实是untrust上可以收进discover,但不 ...

The default trust state of all interfaces is untrusted. You must configure DHCP server interfaces as trusted. You can also configure other interfaces as trusted if they connect to devices (such as switches or routers) inside your network. You usually do not configure host port interfaces as trusted.
我把这句话摘出来，你可以仔细品一下
就是trust接口可以连DHCP服务器，也可以连路由器交换机这类设备，但是通常来说别将连接主机的端口配置信任端口
思科这么建议是合理的，因为如果你的DHCP服务器不是直连在这台开启DHCP snooping的交换机上的话，那么跨交换机的trunk口上也建议配置成trust接口。

gbcbooks

eyesforever 发表于 2015-2-8 22:02
The default trust state of all interfaces is untrusted. You must configure DHCP server interfaces  ...

好的，谢了