dhcp什么意思( 二 )

开关（配置(
#服务dhcp打开dhcp服务
交换机(配置)# ip转发协议udp启动，启动dhcp中继转发udp广播消息
交换机(配置)#vlan10
交换机(配置-vlan10) # ip地址10.1.1.2 255.255.255.0配置ip地址交换机(配置-vlan10) #退出交换机(配置)# vlan20
交换机(配置-vlan20) # ip地址10.1.2.1 255.255.255.0配置ip地址交换机(配置-vlan20) # ip帮助-地址10.1.1.1指定dhcp中继转发udp消息的目标地址
开关(配置-vlan20)#出口
五、dhcp侦听
dhcp窥探功能是指交换机通过dhcp协议监控dhcpclient获取ip的过程。它可以通过设置可信端口和不可信端口来防止dhcp攻击和私有设置dhcpserver 。
从可信端口接收的dhcp消息可以不经验证而转发。典型的设置是将信任端口连接到dhcpserver或dhcprelay代理。不可信端口连接到dhcpclient，交换机将转发从不可信端口接收到的dhcp请求消息，但不转发从不可信端口接收到的dhcp响应消息。
如果从不可信端口接收到dhcp响应消息，除了发送告警信息外，还可以根据设置对端口进行相应的动作，如关机、发出黑洞等。
如果启用了dhcp侦听绑定功能，交换机会将dhcpclients的绑定信息保存在不可信端口下，每个绑定信息包含dhcpclient的mac地址、ip地址、租期、vlan号和端口号，这些信息都存储在dhcp侦听的绑定表中。
如上图：
1.mac-aa设备为普通用户，连接到交换机不可信端口1/1，通过dhcpclient获取ip1.1.1.5；
2.dhcp服务器和gateway分别连接到交换机的信任端口1/11 。1/12;恶意用户mac-bb连接在不可信端口1/10，试图伪装dhcp服务器(发送dhcpack) 。
3.在交换机上设置dhcp窥探，将有效发现和防范这类网络攻击。
交换机配置为：
开关#
开关#配置
交换机(配置)# ipdhcp侦听启用启用dhcp侦听
交换机(配置)#接口以太网1/11
交换机(配置-以太网1/11) # ipdhcp侦听信任设置信任端口
交换机(配置-以太网1/11)#退出
交换机(配置)#接口以太网1/12
交换机(配置-以太网1/12) # ipdhcp侦听信任设置信任端口
交换机(配置-以太网1/12)#出口
交换机(配置)#接口以太网1/1 -10
交换机(配置端口范围)# ipdhcp侦听操作关闭其他端口在接收dhcp服务时直接阻止端口
交换机(配置-端口-范围)#