1、信任配置
       这种配置主要就是在合法DHCP服务器所连交换端口上启用信任，或者是在分布层或接入层交换机之间的互连端口上启用信任。如果不对上述重要端口建立信任配 置，那么普通客户端系统将无法正常从合法DHCP服务器那里接受到有效的上网参数。当然，为了防止普通员工私下搭建DHCP服务器，威胁合法DHCP服务 器的运行安全，我们有必要将普通客户端系统所连的交换端口设置为非信任的端口，那样一来交换机会将来自客户端系统的提供响应报文自动丢弃掉，此时局域网中 的其他客户端系统不知道有这台非法DHCP服务器的存在。 (责任编辑：计算机基础知识 www.dxs56.com) www.dxs56.com

2、限速配置
为了防止Dos攻击，我们需要将DHCP监听功能自带的 报文限速特性启用起来，通过这个特性避免连续、大流量的数据攻击，保证局域网的宝贵带宽资源不会被迅速消耗，从而维护局域网的运行安全性。很多时候，网络 管理员都会在局域网中部署这样或那样的Dos防护工具，不过从实践安全防护效果来看，我们建议大家还是启用DHCP监听技术的请求限速功能。在启用这项功 能时，我们只要简单地执行“IP Dhcp Snooping Limit Rate x”命令就可以了，其中“x”为具体的限速标准，该数值需要网络管理员依照单位局域网的实际运行情况来有针对性的配置。

3、代理配置
       在局域网中存在多个Vlan的情况下，我们必须在交换机中启用中级代理信息选项，也就是启用82选项，才能保证DHCP监听功能提供跨网段安全防护服务。 在DHCP监听中启用中级代理信息选项时，只要执行“ip dhcp snooping information option”命令就可以了。

上一页  [1] [2]