[Tutorial] Port Security: DHCP snooping

@vertex4 · Регистрация: 01.08.2017

Студворк — интернет-сервис помощи студентам

# Уровень знаний: JNCIS ent
# Port Security #DHCP snooping
Хотя эту тему подняли и не в разделе juniper, рассмотрим вкратце как оно настраивается
DHCP snooping используется для защиты от подмены DHCP-сервера. С его помощью можно указать интерфейс, за которым будет легитимный DHCP сервер, а с каких интерфейсов DHCPOFFER и DHCPACK пакеты будут отбрасываться.
По умолчанию, при активации функции DHCP snooping – все access порты будут блокировать DHCP ответы с них, а trunk порты — разрешать.
Для настройки воспользуемся командами:

Code
1
set ethernet-switching-options secure-access-port vlan local examine-dhcp

Включили DHCP snooping в vlan (! не для порта)

Code
1
2
set ethernet-switching-options secure-access-port interface ge-0/0/8.0 no-dhcp-trusted
set ethernet-switching-options secure-access-port interface ge-0/0/9.0 dhcp-trusted

Настроили порты, первый — запрет DHCP-ответов (за ним не может быть активный DHCP-сервер для этого vlan’а), второй — разрешено

Когда DHCP-snooping включен, информация об аренде адресов сохраняется в DHCP Snooping table, также известной как binding table. Чтобы при перезагрузке эти данные не терялись, можно сохранять их в файл, расположенный локально или на удаленном сервере

Code
1
2
set ethernet-switching-options secure-access-port dhcp-snooping-file location /var/tmp/dhcp_snooping
set ethernet-switching-options secure-access-port dhcp-snooping-file write-interval 60

Для просмотра результата можно воспользоваться командой
> show dhcp snooping binding
Можно добавить статическую запись в базу DHCP snooping(полезно, когда у устройства проблемы с arp или arp выключен):

Code
1
2
set ethernet-switching-options secure-access-port interface ge-0/0/8.0 static-ip 192.168.1.5 vlan local
set ethernet-switching-options secure-access-port interface ge-0/0/8.0 static-ip 192.168.1.5 mac 00:01:02:03:04:05

Новые блоги и статьи Все статьи Все блоги /
Символические и жёсткие ссылки в Linux. algri14 15.03.2026 Существует два типа ссылок — символические и жёсткие. Ссылка в Linux — это дополнительная запись в каталоге, которая может указывать либо на inode «файла-ИСТОЧНИКА», тогда это будет «жёсткая. . .	[Owen Logic] Поддержание уровня воды в резервуаре количеством включённых насосов: моделирование и выбор регулятора ФедосеевПавел 14.03.2026 Поддержание уровня воды в резервуаре количеством включённых насосов: моделирование и выбор регулятора ВВЕДЕНИЕ Выполняя задание на управление насосной группой заполнения резервуара,. . .	делаю науч статью по влиянию грибов на сукцессию anaschu 13.03.2026 прикрепляю статью	SDL3 для Desktop (MinGW): Создаём пустое окно с нуля для 2D-графики на SDL3, Си и C++ 8Observer8 10.03.2026 Содержание блога Финальные проекты на Си и на C++: hello-sdl3-c. zip hello-sdl3-cpp. zip Результат:
Установка CMake и MinGW 13.1 для сборки С и C++ приложений из консоли и из Qt Creator в EXE 8Observer8 10.03.2026 Содержание блога MinGW - это коллекция инструментов для сборки приложений в EXE. CMake - это система сборки приложений. Здесь описаны базовые шаги для старта программирования с помощью CMake и. . .	Как дизайн сайта влияет на конверсию: 7 решений, которые реально повышают заявки Neotwalker 08.03.2026 Многие до сих пор воспринимают дизайн сайта как “красивую оболочку”. На практике всё иначе: дизайн напрямую влияет на то, оставит человек заявку или уйдёт через несколько секунд. Даже если у вас. . .	Модульная разработка через nuget packages DevAlt 07.03.2026 Сложившийся в . Net-среде способ разработки чаще всего предполагает монорепозиторий в котором находятся все исходники. При создании нового решения, мы просто добавляем нужные проекты и имеем. . .	Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .

Опции темы