文档编号:2009
浏览:4273 评分:5
最后更新于:2016-03-22
此文档基于S3326GP-V1.0版本
用户问题:
S3326GP交换机如何配置端口保护。
解决思路:
1.登录交换机管理页面故障/安全->防攻击->防DHCP欺骗->开启功能 如下图:
备注:1.当交换机开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCPOffer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址;
2.由于DHCP服务器提供给用户包含了服务器分配给用户的IP地址的报文―“dhcp offer”报文,由E1/0/2端口进入交换机并进行转发,因此需要将端口E1/0/2配置为“Trunk”端口。如果交换机上行接口配置为Trunk 端口,并且连接到DHCP中继设备,也需要将上行端口配置为“Trunk”端口。
作用:DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。