由于 DHCP 协议是二层的,无法找到网络中那台非法 DHCP 服务器的源、目的 IP 地址。如果网络里面同时有多台 DHCP 服务器,而你的交换机没有阻止 DHCP 协议的发布,那么这种情况很容易造成无法上网的问题。
一、环境模拟
如以下图示3台交换机,交换机1接正常的DHCP服务器(10.0.0.X),但是交换机3被接入了1台非法的DHCP服务器(192.168.10.X),那么PC_5或PC_6很容易接入到非法的DHCP服务中去。所以需要在接入层交换机上开启DHCP SNOOPING功能,用来防止非法DHCP。
二、DHCP Snooping配置
开启DHCP Snooping,并信任端口分配DHCP
[h3c] dhcp snooping enable
[h3c] int xge1/0/51 (这个端口为上联口)
[H3C-Ten-GigabitEthernet1/0/51] dhcp snooping trust
可以使用命令display dhcp snooping trust查看信任端口信息。
这个时候已经可以正常分配IP地址了。
目前有 0 条评论