由于 DHCP 协议是二层的,无法找到网络中那台非法 DHCP 服务器的源、目的 IP 地址。如果网络里面同时有多台 DHCP 服务器,而你的交换机没有阻止 DHCP 协议的发布,那么这种情况很容易造成无法上网的问题

一、环境模拟

如以下图示3台交换机,交换机1接正常的DHCP服务器(10.0.0.X),但是交换机3被接入了1台非法的DHCP服务器(192.168.10.X),那么PC_5或PC_6很容易接入到非法的DHCP服务中去。所以需要在接入层交换机上开启DHCP SNOOPING功能,用来防止非法DHCP。

149-1.png

149-2.png

二、DHCP Snooping配置

开启DHCP Snooping,并信任端口分配DHCP

[h3c] dhcp snooping enable

[h3c] int xge1/0/51   (这个端口为上联口)

[H3C-Ten-GigabitEthernet1/0/51] dhcp snooping trust

可以使用命令display dhcp snooping trust查看信任端口信息。

149-3.png

这个时候已经可以正常分配IP地址了。

149-4.png

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。