安全维护配置

　　为了有效使用DHCP监听功能，防护局域网的运行安全，我们需要对该功能进行正确配置，让其按照实际安全运行需求进行工作。由于DHCP监听功能主要是通 过建立端口信任关系实现数据过滤目的的，为此我们需要重点配置究竟哪些交换端口是信任端口，哪些交换端口是非信任端口。具体的说，我们需要在交换机中进行 下面几项安全维护配置操作：

　　1、信任配置

　　这种配置主要就是在合法DHCP服务器所连交换端口上启用信任，或者是在分布层或接入层交换机之间的互连端口上启用信任。如果不对上述重要端口建立信任配 置，那么普通客户端系统将无法正常从合法DHCP服务器那里接受到有效的上网参数。当然，为了防止普通员工私下搭建DHCP服务器，威胁合法DHCP服务 器的运行安全，我们有必要将普通客户端系统所连的交换端口设置为非信任的端口，那样一来交换机会将来自客户端系统的提供响应报文自动丢弃掉，此时局域网中 的其他客户端系统不知道有这台非法DHCP服务器的存在。

　　2、限速配置

　　为了防止Dos攻击，我们需要将DHCP监听功能自带的 报文限速特性启用起来，通过这个特性避免连续、大流量的数据攻击，保证局域网的宝贵带宽资源不会被迅速消耗，从而维护局域网的运行安全性。很多时候，网络 管理员都会在局域网中部署这样或那样的Dos防护工具，不过从实践安全防护效果来看，我们建议大家还是启用DHCP监听技术的请求限速功能。在启用这项功 能时，我们只要简单地执行“IP Dhcp Snooping Limit Rate x”命令就可以了，其中“x”为具体的限速标准，该数值需要网络管理员依照单位局域网的实际运行情况来有针对性的配置。

　　3、代理配置

　　在局域网中存在多个Vlan的情况下，我们必须在交换机中启用中级代理信息选项，也就是启用82选项，才能保证DHCP监听功能提供跨网段安全防护服务。 在DHCP监听中启用中级代理信息选项时，只要执行“ip dhcp snooping information option”命令就可以了。