untrusted

语法

层次结构级别

描述

为保证 DHCP 安全性，将中继接口配置为不可信接口。中继接口默认受信任，允许所有数据包。您可以覆盖此默认行为并将中继接口设置为不可信接口，以便在接口上支持 DHCP 安全功能。不受信任模式下的中继端口支持 DHCP 侦听、DHCPv6 侦听、动态 ARP 检查 （DAI） 和 IPv6 邻接方发现检测。

注意：

在 EX9200 以外的 EX 系列交换机上，不受信任的中继端口不支持 IP 源保护和 IPv6 源保护。

在将多个 DHCP 客户端聚合到接入设备上的一个接口上的部署中，将中继端口配置为不可信端口非常有用。在这种情况下，接口配置为包含一个或多个 VLAN 的中继接口。连接到中继接口的 DHCP 客户端可能开始充当 DHCP 服务器。可信端口允许 DHCP 服务器向请求设备提供 IP 地址和其他信息，这使得网络容易受到非法 DHCP 服务器攻击。

未经授权的 DHCP 服务器也可能将自己分配为网络的默认网关设备。然后，攻击者可以嗅探网络流量并实施中间人攻击，即将用于合法网络设备的流量错误定向到其选择的设备。为了缓解这个问题，您可以将未授权服务器连接到的接口配置为不受信任，以阻止来自该接口的所有入口 DHCP 服务器消息。

必需的权限级别

接口 — 在配置中查看此语句。

接口控制 — 将此语句添加到配置中。

版本信息

在 Junos OS 13.2 版中引入的语句。