一个老设备如何启用DHCP snooping

操作步骤

• 对于DHCP Server仿冒者通过二层设备的攻击，在VLAN视图下使能DHCP Snooping功能

  1. 执行命令system-view，进入系统视图。

  2. 执行命令dhcp enable，全局使能DHCP功能。

  3. 执行命令dhcp snooping enable，全局使能DHCP Snooping功能。

  4. 执行命令vlan vlan-id，进入VLAN视图。

  5. 执行命令dhcp snooping enable [ interface interface-type interface-number ]，使能VLAN的DHCP Snooping功能。

  6. 执行命令quit，返回系统视图。
  7. 执行命令commit，提交配置。

• BD视图下使能DHCP Snooping功能

  1. 执行命令system-view，进入系统视图。

  2. 执行命令dhcp enable，全局使能DHCP功能。

  3. 执行命令dhcp snooping enable，全局使能DHCP Snooping功能。

  4. 执行命令bridge-domain bd-id，进入BD视图。

  5. 执行命令dhcp snooping enable，使能BD内的DHCP Snooping功能。

  6. 执行命令commit，提交配置。

• 对于DHCP Server仿冒者通过三层设备的攻击，在接口视图下使能DHCP Snooping功能

  1. 执行命令system-view，进入系统视图。

  2. 执行命令dhcp enable，全局使能DHCP功能。

  3. 执行命令dhcp snooping enable，全局使能DHCP Snooping功能。

  4. 执行命令interface interface-type interface-number，进入接口视图。

  5. 执行命令dhcp snooping enable，使能接口的DHCP Snooping功能。

  6. 执行命令commit，提交配置。

• BD视图下使能DHCP Snooping功能

  1. 执行命令system-view，进入系统视图。

  2. 执行命令dhcp enable，全局使能DHCP功能。

     缺省情况下，使能DHCP功能。

  3. 执行命令dhcp snooping enable，全局使能DHCP Snooping功能。

     缺省情况下，没有全局使能DHCP Snooping功能。

  4. 执行命令bridge-domain bd-id，进入BD视图。

  5. 执行命令dhcp snooping enable，使能BD内的DHCP Snooping功能。

     缺省情况下，BD内没有使能DHCP Snooping功能。

  6. 执行命令commit，提交配置。

一般把与合法DHCP Server相连的接口设为Trusted接口，其他接口都设为Untrusted接口。

在配置DHCP Snooping功能时，必须配置信任接口，且服务器侧接口和用户侧接口必须在同一个VLAN内，否则用户无法上线。

操作步骤

• 对于DHCP Server仿冒者通过二层设备的攻击，在VLAN视图下配置接口为Trusted
  1. 执行命令system-view，进入系统视图。
  2. 执行命令vlan vlan-id，进入VLAN视图。

  3. 执行命令dhcp snooping trusted [ interface interface-type interface-number ]，配置VLAN内的接口为信任状态。

     在VLAN内配置接口为信任状态前，该接口必须已经加入了该VLAN。

  4. 执行命令commit，提交配置。
• 在BD视图下配置接口为信任状态
  1. 执行命令system-view，进入系统视图。
  2. 执行命令bridge-domain bd-id，进入BD视图。
  3. 执行命令dhcp snooping trusted，配置BD内的接口为信任状态。
  4. 执行命令commit，提交配置。
• 对于DHCP Server仿冒者通过三层设备的攻击，在接口视图下配置接口为信任状态
  1. 执行命令system-view，进入系统视图。
  2. 执行命令interface interface-type interface-number，进入接口视图。

  3. 执行命令dhcp snooping trusted，配置接口为信任状态。

     在VSI场景下，可以在网络侧接口上配置dhcp snooping trusted命令。但是如果多个VSI共用这一个网络侧物理出接口，那么dhcp snooping trusted命令对所有VSI都生效，会存在以下两个问题：

     • 无法区分VSI上送主机处理，这样DHCP Snooping功能无法实现，但是用户可以上线。
     • 对于未配置DHCP Snooping的VSI，网络侧物理出接口仍然会将收到的DHCP回应报文上送平台，这样会增加系统负担。

     所以在VSI场景下，建议用户在VSI视图下配置dhcp snooping nni server enable命令，不要在网络侧接口配置dhcp snooping trusted命令，这样能满足VSI下的用户上线以及DHCP Snooping的需求，也不会出现上述问题。
  4. 执行命令commit，提交配置。
• 在BD视图下配置接口为信任状态
  1. 执行命令system-view，进入系统视图。
  2. 执行命令bridge-domain bd-id，进入BD视图。
  3. 执行命令dhcp snooping trusted，配置BD内的接口为信任状态。
  4. 执行命令commit，提交配置。