碼上快樂

相關內容    簡體    繁體

華為DHCP Snooping配置教程

本文轉載自   查看原文   2021-03-08 15:15   1392    8,網工入門

前 言:

設備開啟DHCP Snooping后將客戶端的DHCP請求報文通過信任接口發送給合法的DHCP服務器。之后設備根據DHCP服務器回應的DHCP ACK報文信息生成DHCP Snooping綁定表。后續設備再從開啟了DHCP Snooping的接口接收用戶發來的DHCP報文時,會進行匹配檢查,能夠有效防范非法用戶的攻擊。
簡單一句話,就是IP地址只能從我指定的信任接口獲取,其它接口發過來的報文我都不信任,不接受,也不分配IP地址。

實 驗:

在企業網絡架構中,架設一台DHCP服務器下接一台接入層交換機SW 1,然而企業內有人私接路由器,來仿冒DHCP服務器,從而導致企業網內部計算機獲取的非法IP地址而無法上網,網絡拓撲如下:

SW1配置命令:

<Huawei>system-view        #進入系統視圖
[Huawei]undo info-center enable        #關閉信息中心
[Huawei]sysname sw1        #重命名為SW1
[sw1]dhcp enable        #開啟DHCP服務
[sw1]dhcp snooping enable        #開啟dhcp snooping服務
[sw1]port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/24        #將G0/0/1~G0/0/24端口加入端口組
[sw1-port-group]dhcp snooping enable        #批量開啟端口snooping
[sw1-port-group]quit        #退出端口組
[sw1]interface GigabitEthernet 0/0/1        #進入G0/0/1端口
[sw1-GigabitEthernet0/0/1]undo dhcp snooping enable        #刪除端口snooping服務
[sw1-GigabitEthernet0/0/1]dhcp snooping trusted        #開啟端口信任,只有這個端口分配的IP地址才會接受
[sw1-GigabitEthernet0/0/1]quit           #退出

查看端口DHCP信息:display dhcp snooping configuration

可以看到只有G0/0/1接口是可信任的端口,其他端口全部開啟dhcp snooping

AR1上配置DHCP服務:

<Huawei>system-view        #進入系統視圖
[Huawei]undo info-center enable        #關閉信息中心
[Huawei]sysname AR1        #重命名為AR1
[AR1]interface GigabitEthernet 0/0/0        #進入G0/0/0
[AR1-GigabitEthernet0/0/0]ip address 1.1.1.1 24        #配置接口IP
[AR1-GigabitEthernet0/0/0]dhcp select global        #dhcp開啟全局
[AR1-GigabitEthernet0/0/0]quit        #退出
[AR1]ip pool office        #創建地址池office
[AR1-ip-pool-office]network 1.1.1.0 mask 24        #地址池網段
[AR1-ip-pool-office]gateway-list 1.1.1.1        #配置網關地址
[AR1-ip-pool-office]dns-list 1.1.1.1 2.2.2.2        #配置DNS地址
[AR1-ip-pool-office]lease day 5        #租期5天
[AR1-ip-pool-office]excluded-ip-address 1.1.1.101 1.1.1.254        #剔除1.1.1.101~1.1.1.254地址不分配

 

AR2上配置DHCP服務:

<Huawei>system-view        #進入系統視圖
[R2]undo info-center enable        #關閉信息中心
[Huawei]sysname R2        #重命名為R2
[R2]interface gig0/0/0        #進入G0/0/0接口 
[R2-GigabitEthernet0/0/0]ip address 2.2.2.1 24        #接口配置IP
[R2-GigabitEthernet0/0/0]dhcp select global        #dhcp設為全局
[R2-GigabitEthernet0/0/0]quit        #退出
[R2]ip pool kang        #創建地址池kang
[R2-ip-pool-kang]network 2.2.2.0 mask 24        #地址池配置網段
[R2-ip-pool-kang]gateway-list 2.2.2.1        #配置網關地址
[R2-ip-pool-kang]dns-list 2.2.2.1 2.2.2.2        #配置dns地址
[R2-ip-pool-kang]lease day 1        #租期為1天
[Huawei-ip-pool-kang]excluded-ip-address 2.2.2.101 2.2.2.254      #剔除2.2.2.101~2.2.2.254之間的地址不分配
[R2-ip-pool-kang]quit        #退出

通過配置后可以發現終端設備只能通過信任的接口獲取IP地址,其它接口的仿冒分配的ip直接丟棄


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 DHCP SNOOPING配置 配置 DHCP Snooping 和 IPSG (二)Cisco dhcp snooping配置解釋 華為eNsp S5700組網配置ACC1 配置DHCP Snooping和IPSG DHCP snooping(DHCP監聽) 配置DHCP Snooping防止DHCP Server仿冒者攻擊示例 dhcp snooping DHCP安全 DHCP Snooping的實現 dhcp snooping、ARP防護、 華為HCNP實驗 DHCP配置
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM