Die Funktionen von DHCP Snooping: 1. Zusammenarbeit mit Switch DAI, um die Verbreitung von ARP-Viren zu verhindern; 2. Isolieren illegaler DHCP-Server durch die Einrichtung vertrauenswürdiger Ports und nicht vertrauenswürdiger Ports leiten DHCP-Pakete normal weiter, und nicht vertrauenswürdige Ports leiten die Antwort des Servers weiter wird verworfen und nicht weitergeleitet.
DHCP-Snooping ist eine Sicherheitsfunktion von DHCP. Es wird hauptsächlich auf Switches eingesetzt. Seine Funktion besteht darin, illegale DHCP-Server im Zugangsnetzwerk abzuschirmen. Das heißt, nachdem die DHCP-Snooping-Funktion aktiviert wurde, können Clients im Netzwerk IP-Adressen nur von dem vom Administrator angegebenen DHCP-Server erhalten.
Aufgrund des fehlenden Authentifizierungsmechanismus in DHCP-Nachrichten kann der Administrator bei einem illegalen DHCP-Server im Netzwerk nicht sicherstellen, dass der Client eine legale Adresse von dem vom Administrator angegebenen DHCP-Server erhält Der Client erhält möglicherweise eine falsche IP-Adresse vom illegalen DHCP-Server usw. Konfigurationsinformationen, was dazu führt, dass der Client das Netzwerk nicht normal nutzen kann.
Nach der Aktivierung der DHCP-Snooping-Funktion müssen die Ports auf dem Switch auf die Zustände „Vertrauen“ und „Nicht vertrauenswürdig“ eingestellt werden. Der Switch leitet nur DHCP-ANGEBOT-/ACK/NAK-Nachrichten für vertrauenswürdige Ports weiter und verwirft DHCP-ANGEBOT-Nachrichten für nicht vertrauenswürdige Ports Nachrichten, um den Zweck zu erreichen, illegale DHCP-Server zu blockieren.
Es wird empfohlen, den mit dem DHCP-Server verbundenen Port als vertrauenswürdigen Port und andere Ports als nicht vertrauenswürdige Ports festzulegen. Darüber hinaus überwacht DHCP-Snooping auch die DHCP-Pakete, die durch die Maschine laufen, extrahiert die Schlüsselinformationen und generiert eine Datensatztabelle der DHCP-Bindungstabelle. Ein Datensatz enthält IP, MAC, Lease-Zeit, Port, VLAN, Typ und andere Informationen, kombiniert mit DAI (Dynamic ARP Inspection) und IPSG (IP Source Guard) können ARP-Anti-Spoofing- und IP-Flusskontrollfunktionen realisieren.
Die Rolle des DHCP-Snoopings
1 Die Hauptaufgabe des DHCP-Snoopings besteht darin, illegale DHCP-Server durch die Konfiguration nicht vertrauenswürdiger Ports zu isolieren.
2. Arbeiten Sie mit Switch DAI zusammen, um die Ausbreitung des ARP-Virus zu verhindern.
3. Erstellen und pflegen Sie eine DHCP-Snooping-Bindungstabelle. Diese Tabelle wird zunächst durch die IP- und MAC-Adressen im DHCP-ACK-Paket generiert und kann zweitens manuell angegeben werden. Diese Tabelle ist die Grundlage für nachfolgendes DAI (Dynamic Arp Inspect) und IPSource Guard. Diese beiden ähnlichen Technologien verwenden diese Tabelle, um zu bestimmen, ob die IP- oder MAC-Adresse zulässig ist, um Benutzer daran zu hindern, eine Verbindung zum Netzwerk herzustellen.
4. Isolieren Sie illegale DHCP-Server, indem Sie vertrauenswürdige Ports und nicht vertrauenswürdige Ports einrichten. Nachdem die nicht vertrauenswürdigen Ports das DHCP-Angebot und die DHCPACK-Antworten vom Server erhalten haben, werden die Pakete verworfen .
Das obige ist der detaillierte Inhalt vonWelche Funktion hat DHCP-Snooping?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!