四、 DHCP 防御
1、在交换机上配置信任端口.开启 DHCP 监听
ip dhcp snooping
.指定监听 vlan
ip dhcp snooping vlan 1
●由于开启监听后,交换机上的接口就全部变成非信任端口(会拒绝 DHCP 报文),需要将正常的接口添加为信任端口
Switch ( config )# int f0/1 Switch ( config - if )# ip dhcp snooping trust
.启用"选项82"
Switch ( config )# ip dhcp snooping information option
·限制 DHCP 报文速率
Switch ( config - if )# ip dhcp snooping limit rate 100
.启用核实 MAC 地址功能
当交换机开启 dhcp snooping 后,所有的接口变成了非信任端口(会拒绝 DHCP 报文),当把交换机上的某一个接口设置为信任端口后,其他所有接口编程可信任端口(会拒绝 DHCP offer )
