防止接入层交换机接入dhcp server技术之dhcp sno

使用场景：办公网工位网口禁止私自接路由器(dhcp server)

架构与配置

image.png

此时pc11已经获得非法路由器的ip地址，造成无法上网

image.png

现在要利用dhcp snooping技术，对接入层接入的非法dhcp server进行阻止

操作如下:

LSW3
dhcp enable
dhcp snooping enable
dhcp snooping enable vlan 10
int gi0/0/1
dhcp snooping trusted

这时，让pc11重新获得ip地址，ipconfig /release ;ipconfig /renew

image.png

地址已重新获得，非法dhcpserver地址已无法获取

原理 启用dhcp snooping后，所有的接口默认都是不信任的，不信任接口接收的dhcp offer报文将被丢弃，信任端口则通过