在托管交换机(例如 3com 4500 或 HP Baseline PWR-Plus 类型交换机)中,是否可以阻止通过特定端口或除 1 个端口之外的所有端口提供 DHCP 服务?
例如,我有一个 DHCP 服务器插入到端口 1,我需要它继续工作,但我想防止用户插入提供 dhcp 服务的恶意设备(路由器)的问题。
当发生这种情况时,在某些时候,客户端将从这个恶意设备获取 dhcp,这不是正确的 ip 范围,因此客户端会失去连接。
我想知道开关中是否有某种设置,或者其他方法?
答案1
您的交换机允许您过滤 IP 端口。因此,您只需阻止端口 UDP 67 (DHCP DISCOVER) 或 UDP 68 (DHCP OFFER)(取决于您是否要阻止输入或输出,或者两者兼而有之),但所需的交换机端口除外。
答案2
许多交换机制造商在其托管设备上提供选项来处理此问题。例如,思科有“DHCP 监听”功能,可以确定 DHCP 消息的来源,还有“IP 源保护”功能,可以防止流量使用未从 DHCP 服务器获取的 IP。请参阅http://www.ciscopress.com/articles/article.asp?p=1181682&seqNum=7
HP 还进行 DHCP 监听:http://h40060.www4.hp.com/procurve/uk/en/pdfs/application-notes/AN-S12_ProCurve-DHCP-snooping-final.pdf
... 其余感兴趣的供应商就留给读者练习吧。