DHCP snooping

本文详细介绍了如何在路由器R1和R2上配置DHCP服务,包括设置地址池、网关和静态绑定MAC地址。同时,阐述了在交换机SW上启用DHCP Snooping的过程,以增强网络安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述
dhcp 配置

R1配置dhcp
[Huawei]sys R1
[R1]dhcp enable
[R1]ip pool dhcp_name                            
[R1-ip-pool-dhcp_name]network 192.168.0.1 mask 24
[R1-ip-pool-dhcp_name]gateway-list 192.168.0.1
[R1-ip-pool-dhcp_name]static-bind ip-add 192.168.0.2 mac-address 5489-98EA-26AA   //绑定mac地址所分配的地址
[R1-ip-pool-dhcp_name]q

[R1-GigabitEthernet0/0/0]ip add 192.168.0.1 24
[R1-GigabitEthernet0/0/0]dhcp select global 

R2配置dhcp
[Huawei] sys R2
[R2]dhcp enable
[R2]ip pool dhcp_r2
[R2-ip-pool-dhcp_r2]network 172.16.0.1 mask 24  
[R2-ip-pool-dhcp_r2]gateway-list 172.16.0.1  

[R2-ip-pool-dhcp_r2]q
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 172.16.0.1 24
[R2-GigabitEthernet0/0/0]dhcp select global 

dhcp snooping 配置

sw下配置

[Huawei]sys SW
[SW]dhcp enable 
[SW]dhcp snooping enable 

//接口下开启
[SW]int e 0/0/1
[SW-Ethernet0/0/1]dhcp snooping enable 

[SW-Ethernet0/0/1]int e 0/0/3
[SW-Ethernet0/0/3]dhcp snooping en

[SW-Ethernet0/0/3]int e0/0/01
[SW-Ethernet0/0/1]dhcp snooping en

//指定信任端口
[SW-Ethernet0/0/1]dhcp snooping trusted 
### DHCP Snooping 配置与实现 DHCP Snooping 是一种重要的网络安全特性,用于防止未经授权的 DHCP 服务器仿冒攻击、IP/MAC 地址欺骗以及其他相关安全威胁。以下是关于 DHCP Snooping 的配置和实现方式的详细说明。 #### 1. DHCP Snooping 的基本原理 DHCP Snooping 通过在交换机上维护一个 DHCP 绑定表来记录合法的 DHCP 客户端信息,包括 IP 地址、MAC 地址、VLAN ID 等参数。此绑定表可以用于其他安全特性(如 IP Source Guard 和 Dynamic ARP Inspection)以进一步增强网络安全性[^3]。 #### 2. DHCP Snooping 的实现步骤 以下是在华为设备上配置 DHCP Snooping 的方法: ```bash # 进入系统视图 system-view # 全局启用 DHCP Snooping 功能 dhcp enable dhcp snooping enable # 在指定 VLAN 上启用 DHCP Snooping vlan 10 dhcp snooping enable # 配置信任端口(连接到合法 DHCP 服务器的端口) interface GigabitEthernet 0/0/1 dhcp snooping trust # 在非信任端口上启用 DHCP Snooping interface GigabitEthernet 0/0/2 port link-type access port default vlan 10 ``` #### 3. DHCP Snooping 的关键配置点 - **全局启用**:必须在全局范围内启用 DHCP Snooping 功能,否则无法生效。 - **信任端口配置**:将连接到合法 DHCP 服务器的端口设置为信任端口,确保这些端口上的 DHCP 消息不会被丢弃。 - **非信任端口限制**:对于普通接入端口(非信任端口),交换机会过滤掉所有来自客户端的 DHCP Offer 和 DHCP ACK 消息,从而防止非法 DHCP 服务器的仿冒攻击[^2]。 #### 4. DHCP Snooping 的绑定表管理 DHCP Snooping 维护了一个动态绑定表,记录了每个 DHCP 客户端的 IP 地址、MAC 地址以及对应的 VLAN 和接口信息。可以通过以下命令查看绑定表内容: ```bash display dhcp snooping binding ``` 此外,还可以手动清除绑定表中的条目: ```bash reset dhcp snooping binding ``` #### 5. DHCP Snooping 的高级功能 - **Option 82**:通过插入 Option 82 信息,可以在 DHCP 请求中附加客户端的具体位置信息(如接入交换机和端口号),便于集中式 DHCP 服务器分配特定范围的 IP 地址[^4]。 - **IP Source Guard (IPSG)**:基于 DHCP Snooping 的绑定表,阻止不符合绑定表规则的流量进入网络。 - **Dynamic ARP Inspection (DAI)**:结合 DHCP Snooping 的绑定表,验证 ARP 报文中的源 IP 地址和 MAC 地址是否匹配,从而防止 ARP 中间人攻击。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值