考虑以下拓扑:
此图像是从此处复制的,在本文中它指定了以下内容:
请记住,
Fa0/24从 DHCP Snooping 的角度来看,SW2 上的端口是不受信任的端口,因此默认情况下会丢弃数据包,因为存在选项 82。该流量永远不会到达 DWS1。
好的,由于选项 82,这是预期的,我们只有端口Fa0/11 和Fa0/2作为受信任的端口,但它为此问题提供了两个修复程序:
SW2(config)#ip dhcp snooping information option allow-untrusted
和
另一种方法是使端口
Fa0/24成为受信任的端口,但这会暴露我们的安全性。
文章没有描述为什么将接口设置Fa0/24为受信任端口是一个安全问题。它也没有解释allow-untrustedDHCP 侦听信息(选项 82)中选项的含义。
受信任的端口通向 DHCP服务器。在 SW2 上,这是 Fa0/11。在 SW1 上,这是 Fa0/2。这些是唯一期望 DHCP 回复的端口。信任任何其他端口可能会允许 DHCP 服务器存在于它们不应该存在的地方。在这种情况下,将 SW2 Fa0/24 设置为trusted 很可能不会成为问题——因为它位于交换机间链接中,但这不是问题的正确解决方案。(选项 82 是问题所在,因此请关注仅限于选项 82 的解决方案。)
DHCP 侦听从不受信任的端口或 IP 地址(取决于配置)过滤服务器端流量(提供、确认)。它不过滤客户端流量(发现、请求)。因此,配置Fa0/24为受信任不是必需的,也没有意义。
正如 Ricky 所指出的,这不会是一个安全问题,因为Fa0/24会导致交换机也实现 DHCP 监听。
请注意,要使 DHCP 侦听有效,它需要存在于具有不受信任端口的所有(接入)交换机上。没有必要在发行版或核心级别激活它。(但当接入交换机配置不正确时,它会降低 DHCP 攻击的影响。)