一、题目
DHCP Snooping在哪些端口上可以生效?
A.二层交换口
B.二层聚合口
C.三层路由口
D.二层封装的子接口
二、答案
ABD
三、解析
二层交换口 (A):
DHCP Snooping 可以在二层交换口上生效。二层交换口是最常见的应用场景,因为它们直接连接到终端用户设备,能够有效地监控和过滤 DHCP 报文。
二层聚合口 (B):
二层聚合口是由多个物理端口组成的逻辑端口,通常用于增加带宽和提供冗余。DHCP Snooping 也可以在这些端口上生效,因为它们仍然是二层端口,能够处理和过滤 DHCP 报文。
三层路由口 (C):
DHCP Snooping 不能在三层路由口上生效。三层路由口主要用于路由 IP 报文,而不是处理二层的 DHCP 报文。
二层封装的子接口 (D):
二层封装的子接口是指在二层交换机上创建的虚拟接口,通常用于 VLAN 配置。DHCP Snooping 可以在这些子接口上生效,因为它们仍然属于二层接口,能够监控和过滤 DHCP 报文。
四、扩展—DHCP Snooping
DHCP Snooping 的基本概念
DHCP Snooping 是一种网络安全功能,用于防止非法的 DHCP 服务器在网络中分配 IP 地址。它通过在交换机上监控 DHCP 报文来实现这一点。DHCP Snooping 可以防止 DHCP 欺骗攻击,确保只有合法的 DHCP 服务器可以向客户端分配 IP 地址。
工作原理
- 端口分类:
- 可信端口:连接到合法的 DHCP 服务器,允许所有 DHCP 报文通过。
- 不可信端口:连接到客户端设备,只允许 DHCP 请求报文通过,阻止其他类型的 DHCP 报文(如 DHCP 响应)。
- DHCP Snooping 数据库:
- 交换机会维护一个 DHCP Snooping 数据库,记录每个 DHCP 绑定信息,包括客户端的 MAC 地址、IP 地址、租约时间、VLAN 信息等。
- 报文过滤:
- 当 DHCP 报文通过交换机时,交换机会根据端口的可信状态和 DHCP Snooping 数据库的信息来决定是否允许该报文通过。
- 对于不可信端口,交换机会丢弃所有来自非法 DHCP 服务器的 DHCP 响应报文。
配置DHCP Snooping功能
dhcp enable
dhcp snooping enable ipv4 //使能全局DHCP Snooping功能并配置设备仅处理DHCPv4报文,节约设备的CPU利用率
interface gigabitethernet 0/0/2
dhcp snooping enable //使能用户侧接口的DHCP Snooping功能
interface gigabitethernet 0/0/1
dhcp snooping trusted //配置为信任接口,使得接入交换机只处理从该接口收到的DHCP服务器响应报文