這種情況下可以在交換機上開啟dhcp snooping功能
DHCP Snooping的信任功能,能夠保證客戶端從合法的服務器獲取IP(Internet Protocol)地址。
如圖1所示,網絡中如果存在私自架設的DHCP Server仿冒者,則可能導致DHCP客戶端獲取錯誤的IP地址和網絡配置參數,無法正常通信。DHCP Snooping信任功能可以控制DHCP服務器應答報文的來源,以防止網絡中可能存在的DHCP Server仿冒者為DHCP客戶端分配IP地址及其他配置信息。
DHCP Snooping信任功能將接口分為信任接口和非信任接口:
信任接口正常接收DHCP服務器響應的DHCP ACK、DHCP NAK和DHCP Offer報文。另外,設備只會將DHCP客戶端的DHCP請求報文通過信任接口發送給合法的DHCP服務器。
非信任接口在接收到DHCP服務器響應的DHCP ACK、DHCP NAK和DHCP Offer報文後,丟棄該報文。
在二層網絡接入設備使能DHCP Snooping場景中,壹般將與合法DHCP服務器直接或間接連接的接口設置為信任接口(如圖1中的if1接口),其他接口設置為非信任接口(如圖1中的if2接口),使DHCP客戶端的DHCP請求報文僅能從信任接口轉發出去,從而保證DHCP客戶端只能從合法的DHCP服務器獲取IP地址,私自架設的DHCP Server仿冒者無法為DHCP客戶端分配IP地址。