大多数网络场景中,常由一台网关设备作为DHCP服务器下发地址,有线或无线终端动态获取IP地址,接入网络。当有人私下接入一台无线路由器,错把LAN口连接到交换机上时,由于无线路由器也具备下发IP地址的功能,此时将有部分终端设备获取到错误的IP导致无法上网。
该问题现象特征为:
- 电脑开机时概率断网,重启电脑有概率恢复网络。
- 部分电脑或手机连接Wi-Fi无网络。
- 断网电脑的IP地址与正常的不在同一个网段。
开启防私接功能(DHCP Snooping),能够在本交换机下避免该问题,提升网络的稳定性。
如果网络内存在其他品牌交换机,未开启DHCP Snooping,则其他品牌交换机下私接小路由仍会导致断网,需要另外开启它的DHCP Snooping功能。
二、配置步骤进入项目后,路径:配置>>整网配置>>调优>>防私接
1.点击<马上开启>,可使用“推荐”或“自定义”配置。开启后,只把上联口加入DHCP信任口,其他口均为不信任口。(上联口为系统自动识别,如果交换机连接路由器的网线更换接口,需要重新下发一次配置,否则将导致终端无法获取地址,出现断网)。
- 推荐配置
- 根据生成的拓扑结构,MACC自动识别所有支持DHCP Snooping功能的RG-NBS或RG-ES系列交换机,并开启DHCP Snooping功能。
- 自定义配置
- 如果部分交换机接口安全可控,没有私下被接入小路由的风险,用户可以自行选择需要开启DHCP Snooping功能的交换机。针对开启的交换机,只把上联口加入DHCP信任口,其他口均为不信任口。
2.点击<下发配置>,完成配置。如需修改防私接功能的生效范围,点击<配置>,可在拓扑中重新选择开启防私接的交换机。点击防私接开关,可一键关闭网络中所有交换机上的防接功能。
