在Debian系统中启用DHCP Snooping,可以按照以下步骤进行操作:
首先,确保你的系统上安装了isc-dhcp-server和isc-dhcp-common。你可以使用以下命令来安装它们:
sudo apt update
sudo apt install isc-dhcp-server isc-dhcp-common
编辑DHCP服务器的配置文件 /etc/dhcp/dhcpd.conf。你可以使用任何文本编辑器,例如 nano 或 vim。
sudo nano /etc/dhcp/dhcpd.conf
在配置文件中,添加或修改以下内容以启用DHCP Snooping:
option domain-name "example.com";
option domain-name-servers ns1.example.com, ns2.example.com;
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.10 192.168.1.100;
option routers 192.168.1.1;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.1.255;
option domain-name-servers 8.8.8.8, 8.8.4.4;
# 启用DHCP Snooping
ddns-update-style none;
ignore client-updates;
authoritative;
allow booting;
allow bootp;
# 定义信任端口
subnet 192.168.1.0 netmask 255.255.255.0 {
pool {
allow members of "trusted";
range 192.168.1.10 192.168.1.100;
}
}
# 定义信任接口
interface "eth0";
option interface-mtu 1500;
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;
option rfc3442-classless-static-routes 192,168,1,0,24;
}
在配置文件中,定义哪些接口是信任接口。信任接口是指连接到DHCP服务器的接口,这些接口上的流量被认为是可信的。
trusted-interface "eth0";
如果你有其他接口连接到客户端设备,这些接口应该被配置为非信任接口。你可以在配置文件中添加以下内容:
untrusted-interface "eth1";
保存并关闭配置文件后,启动DHCP服务器:
sudo systemctl start isc-dhcp-server
你可以使用以下命令来验证DHCP Snooping是否已启用:
sudo dhcpd -t
如果配置文件没有问题,你应该会看到类似以下的输出:
Configuration file: /etc/dhcp/dhcpd.conf
...
如果你使用的是 ufw 防火墙,可以添加规则来允许DHCP流量:
sudo ufw allow in on eth0 to any port 67 proto udp
sudo ufw allow in on eth0 to any port 68 proto udp
确保你的配置在系统重启后仍然有效。你可以使用以下命令来启用DHCP服务器服务开机自启动:
sudo systemctl enable isc-dhcp-server
通过以上步骤,你应该能够在Debian系统中成功启用DHCP Snooping。