有時候因為有使用者架設私人的DHCP,導致原本的對外網路攤瘓
要防止這種狀況,就要使用DHCP snooping
這樣會將傷害降到最小,只有部份的人(ex:某台L2 switch)網路會不通
架構:
3750→2960→PC
3750設定:
#進入config模式 #啟用DHCP snooping (config)ip dhcp snooping #在valn123中啟用DHCP snooping (config)ip dhcp snooping vlan 123 #允許特定port通過DHCP snooping(底下接其他網路設備) #int gi 1/0/7 (config-if)ip dhcp snooping information option allow-untrusted
2960設定:
#進入config模式 #啟用DHCP snooping (config)ip dhcp snooping #在valn123中啟用DHCP snooping (config)ip dhcp snooping vlan 123 #接下來對每一個 FastEthernet 設定 DHCP 封包數上限 (config)int range fa 0/1-24 (config-if-range)ip dhcp snooping limit rate 1024 #對GigabitEthernet兩個孔做信任 (config)int range gi 0/1-2 (config-if-range)ip dhcp snooping trust
注意:
若2960下方還有再串設備的話,就必須再加一次
ip dhcp snooping information option allow-untrusted
不然會抓不到DHCP