华为企业交换机,用DHCP SNOOPING防止私接小路由实验

最新推荐文章于 2025-06-19 18:08:34 发布
原创 最新推荐文章于 2025-06-19 18:08:34 发布 · 1.2w 阅读 · 60 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文通过一个实验展示了如何利用华为企业交换机的DHCP Snooping功能,防止非法客户端私接小路由,确保网络中PC只能从核心DHCP服务器获取合法IP地址。实验设置包括多个VLAN和DHCP地址池,通过对比信任与非信任端口,验证了DHCP Snooping的有效性。

导语:

在企业中,数据的安全一向是重要的,为了防止客户端私接小路由影响企业内部网络,华为企业交换机有这样的命令

Dhcp snooping

思路:

合法的DHCP客户端使用,dhcp snooping trusted 

不合法的DHCP客户端使用,dhcp snooping enable

实验:

我们假设这样的一个场景,在企业网络架构中。核心交换机(CORE)下接了接入交换机(ACCESS),然后有非法客户端DHCP交换机(UNTRUST)接了接入交换机(ACCESS)的G0/0/24端口,拓补图如下。

实验思路:

CORE:创建VLAN 10,VLAN 20,分别配置VLAN10 ,VLAN 20的网段,为192.168.10.254,192.168.20.254,在G0/0/1端口做trunk,透传VLAN 10 ,20.

ACCESS:创建vlan10,20,使得PC1和PC2分别属于VLAN 10 ,20 ,并在G0/0/3,G0/0/24端口做trunk,透传VLAN10 ,20

UNTRUST:创建vlan10 ,20,创建VLANIF地址池,vlan10,192.168.100.254,vlan20 192.168.200.254,在G0/0/24端口下透传VLAN10,vlan20

实验目的:

当同时存在两个DHCP客户端的时候,且地址池都是VLAN10或VLAN20的地址池,那么PC获取地址的时候默认获取哪个地址池的呢?显然是可以获取到仿冒客户端的IP地址的,这也是我们不希望看到的。

我们尝试用dhcp snooping enbale等命令,验证被trust的端口才能合法获取IP地址,untrust端口获取不到它的地址。

本次实验上最终实现的就是,当ACCESS,G0/0/3端口是,dhcp snooping trusted 的时候,G0/0/24端口是dhcp snooping enable

最低0.47元/天 解锁文章

200万优质内容无限畅学
华为)网工必备实验笔记:dhcp-snooping实验配置
2301_76170756的博客
12-26 2802
网工必备实验笔记:dhcp-snooping实验配置
华为DHCP Snooping原理及其实验配置
热门推荐
爱学习的JackYang的博客
07-30 1万+
DHCP Snooping原理 DHCPSnooping是一种DHCP安全特性,通过截获DHCPClient和DHCPRelay之间的DHCP报文并进行分析处理,可以过滤不信任的DHCP报文并建立和维护一个DHCPSnooping绑定表(untrust)。 DHCPSnooping通过对这个绑定表的维护,建立一道在DHCPClient和DHCPServer之间的防火墙 DHCPSnooping可以解决设备应用DHCP时遇到的DHCPDOS(DenialofService)攻击...
DHCP Snooping典型配置举例(如何防止路由器乱问题)
初学者的专栏
10-08 1655
全局开启DHCP Snooping配置举例· 与合法DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。· 记录DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文中DHCP客户端IP地址及MAC地址的绑定信息。‌。
网络故障排除及解决方案系列(一)路由
最新发布
echo的博客
06-19 329
本系列博客旨在为您提供一套系统化、实战性强的网络故障排除指南,涵盖从基础到进阶的常见问题场景。我们将以清晰的逻辑、实用的工具和可落地的解决方案
华为DHCP Snooping配置
xw19979790869的博客
11-22 870
DHCP SnoopingDHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。目前DHCP协议(RFC2131)在应用的过程中遇到很多安全方面的问题,网络中存在一些针对DHCP的攻击,如DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。
华为S5700 防止路由
qq_33876106的博客
05-17 4812
华为S5700 防止路由器 使用DHCP Snooping功能 使用全局DHCP Snooping功能。 [Switch] dhcp enable [Switch] dhcp snooping enable 使能用户侧口的DHCP Snooping功能。 [Switch] interface gigabitethernet 0/0/1 [Switch-GigabitEthernet0/...
配置华为交换机防止自设置DHCP服务器
weixin_33681778的博客
11-23 3583
1.进入VLAN1〓 [Quidway]interface Vlan-interface1IT 2.为VLAN1配置IP地址 [Quidway-Vlan-interface1]ip address 192.168.0.254255.255.255.0 3.进入Ethernet0/1端口 [Quidway-Vlan-interface1]interface Eth...
DHCP+DHCP snooping知识整理
zhang175gl的博客
03-04 1013
动态主机配置协议(Dynamic Host Configuration Protocol),简称DHCP,是一个应用于局域网的网络协议,该协议允许服务器向客户端动态分配IP地址和配置信息。 DHCP位于OSI模型的应用层,使用UDP协议工作,主要有两个用途,一个是用于内部网或网络服务供应商自动分配IP地址给用户,另一个是用于内部网管理员作为对所有电脑作中央管理的手段。 DHCP具有如下几点功能: ...
DHCP高阶应用系列之《dhcp-snooping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址》
weixin_44645270的博客
07-18 2910
DHCP高阶操作系列之《dhcp-snoping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址》
华为核心交换机配置dhcp
06-01
下来,需要整理华为交换机配置DHCP服务器的步骤。通常步骤包括启用DHCP功能、创建地址池、配置地址池参数(网关、DNS、子网等)、在口上启用DHCP全局或口模式。同时,可能涉及路由配置,确保DHCP服务器可达。...
H3C 2种型号交换机防止非法DHPCP配置
05-05
H3C 交换 2种型号 DHCPSnOOPING设置.H3C有2种类型的交换机配置方法不同,通过以上文档,可以轻松解决非法DHCP问题。此文档适用于核心交换机和可网管型二层交换机
防止路由
qq274575499的博客
12-19 2542
防止路由器,电脑获取到IP地址不是DHCP服务器的IP地址段,导致整个公司网络瘫痪。
华为ENSP-禁止路由发布DHCP
m0_67362887的博客
03-23 413
信任区主机发出discover包,没有收到路由offer包,被交换机过滤。vlan通过隔离冲突域禁止信任区外部路由发送信息给信任区内主机。snooping通过建立信任端口,只允许特定端口发出DHCP包。acl通过建立规则在客户端口禁止服务器发出的dhcp进入交换机。通过DHCP snooping禁止设服务器的DHCP报文。通过ACL访问控制列表,禁止用户区域DHCP服务器报文。路由收到discover包,并发送offer包。通过vlan实现故障隔离。
防止交换机_【s5700交换机防止用户设IP
weixin_42458128的博客
12-23 1677
设备类型:华为S5700系列交换机应用场景:在不靠vlan的情况下,实现端口IP隔离,防止入用户自使用未分配的IP以下方法是 IP+MAC+端口 的绑定,这样可以使未绑定(分配)的IP不被非法使用。此方法需要用到DHCP Snooping 功能。1、先开启全局DHCP Snooping[HUAWEI] dhcp snooping enable2、配置端口所属vlan[HUAWEI] vla...
华为配置DHCP Snooping防止DHCP Server仿冒者攻击示例
专研计算机网络,数据通信,网络安全,系统集成
03-07 1909
在一次DHCP客户端动态获取IP地址的过程中,DHCP Snooping会对客户端和服务器之间的DHCP报文进行分析和过滤。通过合理的配置实现对非法服务器的过滤,防止用户端获取到非法DHCP服务器提供的地址而无法上网。网络中有个别终端用的是Windows Server 2003或者2008系统,默认开启了DHCP分配IP的服务。一些入层的端口连有开启了DHCP分配IP服务的无线路由器。我们推荐在用户入层交换机上面部署DHCP Snooping功能,越靠近PC端口控制的越准确。
华为eNSP配置DHCP Snooping防欺骗
嘻嘻哥哥~的博客
02-19 5430
DHCP Snooping防欺骗 R1真DHCP服务器配置: <Huawei>system-view #进入系统视图 Enter system view, return user view with Ctrl+Z. [Huawei]sysname R1 #更改设备名称为R1 [R1]dhcp enable
解决dhcp服务器(华为交换机snooping功能)
yjg428的专栏
12-23 880
2 系统视图下dchp snooping enable。2 pc4可从 AR3、AR3-1获取DHCP服务。1 pc1、pc2只能从AR3获取DHCP服务。5 int g0/0/4 【非信任端口】3 int g0/0/1 【信任端口】1 系统视图下dchp enable。
配置交换机端口安全:要求控制交换机端口安全,禁止网络设备
彭淦淦的博客
04-25 2720
1.1 问题 1)要求控制交换机端口安全,禁止网络设备 2)PC1可以ping通Server1,PC2无法ping通Server1 1.2 方案 实验拓扑如图-1所示,搭建实验环境时首先确保PC1正常通信,再加入PC2。 图-1 1.3 步骤 实现此案例需要按照如下步骤进行。 1)在交换机LSW1上配置 interface Ethernet0/0/1 port-security enab...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值