分配给不安全端口上DHCP客户端的地址,可以利用DHCP Snooping的动态绑定(或是使用IP Source Guard配置的静态绑定)小心地控制。DHCP snooping 允许交换机保护网络,避免受到假DHCP服务器(rogue DHCP servers)或是其他传送端口相关信息给DHCP服务器的设备。此信息在追朔IP地址到物理端口十分有用。
使用 安全 > DHCP Snooping (全局配置) 页面,在交换机上开启全局DHCP Snooping,或是配置MAC地址验证。
全局
开启全局DHCP Snooping。(默认:关闭)
开启或关闭MAC地址验证。如果数据报文以太网头的源MAC地址,与DHCP数据报文中客户端硬件地址不相同,则丢弃此数据报文。(默认:Enabled)
信息
开启或关闭DHCP Option 82 信息中继。(默认:关闭)
开启或关闭使用Option 82信息中circuit-ID(CID)和remote-ID(RID)的子类型与子长度字段。(默认:Enabled)
指定提出需求设备(即上下文中的交换机)的MAC地址、IP地址或是任意标识符。
在DHCP Snooping 代理的remote ID子选项,插入MAC地址。(即交换机CPU的MAC地址)此属性可以用十六进制或是ASCII编码。
在DHCP Snooping 代理的remote ID子选项,插入IP地址。(即管理接口的IP地址)此属性可以用十六进制或是ASCII编码。
在远程标识符域中插入任意字符串。(范围:1-32字符)
指定如何处理含有Option 82信息的DHCP客户端的请求数据报文。
丢弃客户端的请求数据报文,不中继它。
保留客户请求报文的Option 82信息,插入中继代理地址,并转发数据报文到信任端口。
用中继代理自身提供的信息取代客户请求报文中的Option 82信息circuit-id域,插入中继代理的地址(当DHCP snooping是开启的),并转发数据报文到信任端口。(这是默认策略)
使用 IP服务 > DHCP > Snooping (VLAN配置) 页面,为特定的VLAN开启或关闭DHCP snooping。
已配置VLAN的ID。
选定的VLAN开启或关闭DHCP Snooping。当DHCP Snooping是在交换机上全局开启且特定的VLAN开启,要在这个VLAN上的所有不信任端口上进行DHCP数据报文过滤。(默认:Disabled)
使用 IP服务 > DHCP > Snooping (接口配置) 页面,配置交换机端口口为信任或是不信任。
开启或关闭端口为可信任的。(默认:Disabled)
每个端口可支持的DHCP客户端的最大数量。 (范围:1-32; 默认:16)
指定DHCP Option 82 circuit ID子选项信息
特定的默认字符串为VLAN-Unit-Port或是任意一字符串。(默认:VLAN-Unit-Port)
插入circuit标识域中的任意字符串。(范围:1-32字符)
使用 IP服务 > DHCP > Snooping (显示信息) 页面,显示绑定表的表项。
和表项相关联的物理地址。
相应客户端的IP地址。
IP地址租给客户端的时间。
表项类型包含:
DHCP-Snooping - 动态探听到的.
Static-DHCPSNP - 静态配置的
此表项绑定的VLAN.
此表项绑定的端口或是Trunk。
将所有动态学习到的snooping表项写入闪存。此功能用来将当前学到的动态DHCP snooping表项存入闪存。当交换机被重置时,这些表项会被恢复到snooping表中。但是,请注意,存储在闪存内的动态表项的租赁时间将不再有效。
将闪存内所有动态学到的snooping表项移除。