在交换机物理端口,如何过滤dhcp报文,用什么命令?
让端口下面的电脑无法从上端获取到ip地址。
(0)
acl过滤dhcp的报文端口就可以了
DHCP报文是基于UDP协议传输的。 DHCP客户端向DHCP服务器发送报文时采用68端口号,DHCP服务器向DHCP客户端发送报文时采用67端口号。
===================
H3C 交换机过滤dhcp报文的方法有以下几种:
acl number 3000
rule 0 deny udp source-port eq 68 destination-port eq 67
rule 10 deny udp source-port eq 67 destination-port eq 68
rule 20 permit ip
然后,您可以将该ACL规则应用到需要过滤dhcp报文的物理端口上,例如:
interface GigabitEthernet1/0/1
port access vlan 10
packet-filter 3000 inbound
qos policy filter-dhcp
classifier dhcp operator or
if-match udp source-port eq 68 destination-port eq 67
if-match udp source-port eq 67 destination-port eq 68
behavior drop-dhcp
drop
qos apply policy filter-dhcp inbound interface GigabitEthernet1/0/1
dhcp-snooping enable vlan 10
interface GigabitEthernet1/0/1
port access vlan 10
dhcp-snooping untrust
interface GigabitEthernet1/0/2
port access vlan 10
dhcp-snooping trust
您可以参考以下链接中的文档和案例,了解更多关于H3C 交换机过滤dhcp报文的方法和应用场景:
(0)
可以通过接口调用qos策略来实现,但是配置维护起来比较复杂。
如果是过滤非法dhcp server报文的话,dhcp snooping协议倒是挺适合的。不过要设备支持才行。
建议还是先搞清楚具体组网和需求分析下来看是否有其它更好的方案看看吧
(0)
暂无评论
物理接口下?
那你可以先开启dhcp snooping。如果dhcp服务器连在其它接口下,那你不设置信任端口就行;如果这台交换机就是dhcp server,你可以在物理接口下配置dhcp snooping报文阻断功能。
如果交换机不支持该功能,还可以通过在接口下调用acl禁用目的端口为udp 67的报文来实现,方法很多的。
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论