Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

17.14.5.2. DHCP 侦听

CTRL_IP_LEARNING=dhcp (DHCP snooping)提供额外的反欺骗安全,特别是与过滤器结合使用时,仅允许可信 DHCP 服务器分配 IP 地址。若要启用此功能,请将变量 DHCPSERVER 设置为有效 DHCP 服务器的 IP 地址,并提供使用此变量过滤传入的 DHCP 响应的过滤器。
当 DHCP 侦听启用并且 DHCP 租期过期时,客户机虚拟机将不再能够使用 IP 地址,直到它从 DHCP 服务器获取新的有效租用。如果迁移了客户机虚拟机,它必须获得一个新的有效 DHCP 租用才能使用 IP 地址(例如,通过关闭虚拟机接口并再次启动)。
注意
自动 DHCP 检测侦听客户端虚拟机与基础架构 DHCP 服务器交换的 DHCP 流量。为了避免 libvirt 上的拒绝服务攻击,评估这些数据包的速率限制,这意味着客户机虚拟机每秒发送过多的 DHCP 数据包数量,因此过滤器可能无法改编。假定假定为每秒发送少量 DHCP 数据包。此外,务必要在基础架构中的所有客户机虚拟机设置适当的过滤器,以避免它们发送 DHCP 数据包。因此,客户机虚拟机必须防止将 UDP 和 TCP 流量从端口 67 发送到端口 68,或者所有 guest 虚拟机上应当使用 DHCPSERVER 变量,以仅允许来自受信任的 DHCP 服务器。在子网中的所有客户机虚拟机上必须同时启用反欺骗防止。

例 17.6. 激活 DHCP 侦听的 IP

以下 XML 提供了使用 DHCP 侦听方法学习的 IP 地址激活的示例: 
    <interface type='bridge'>
      <source bridge='virbr0'/>
      <filterref filter='clean-traffic'>
        <parameter name='CTRL_IP_LEARNING' value='dhcp'/>
      </filterref>
    </interface>