华为企业交换机,用DHCP SNOOPING防止私接小路由实验

本文通过一个实验展示了如何利用华为企业交换机的DHCP Snooping功能,防止非法客户端私接小路由,确保网络中PC只能从核心DHCP服务器获取合法IP地址。实验设置包括多个VLAN和DHCP地址池,通过对比信任与非信任端口,验证了DHCP Snooping的有效性。

导语:

在企业中,数据的安全一向是重要的,为了防止客户端私接小路由影响企业内部网络,华为企业交换机有这样的命令

Dhcp snooping 

思路:

合法的DHCP客户端使用,dhcp snooping trusted 

不合法的DHCP客户端使用,dhcp snooping enable

实验:

我们假设这样的一个场景,在企业网络架构中。核心交换机(CORE)下接了接入交换机(ACCESS),然后有非法客户端DHCP交换机(UNTRUST)接了接入交换机(ACCESS)的G0/0/24端口,拓补图如下。

实验思路:

CORE:创建VLAN 10,VLAN 20,分别配置VLAN10 ,VLAN 20的网段,为192.168.10.254,192.168.20.254,在G0/0/1端口做trunk,透传VLAN 10 ,20.

ACCESS:创建vlan10,20,使得PC1和PC2分别属于VLAN 10 ,20 ,并在G0/0/3,G0/0/24端口做trunk,透传VLAN10 ,20

UNTRUST:创建vlan10 ,20,创建VLANIF地址池,vlan10,192.168.100.254,vlan20 192.168.200.254,在G0/0/24端口下透传VLAN10,vlan20

实验目的:

当同时存在两个DHCP客户端的时候,且地址池都是VLAN10或VLAN20的地址池,那么PC获取地址的时候默认获取哪个地址池的呢?显然是可以获取到仿冒客户端的IP地址的,这也是我们不希望看到的。

我们尝试用dhcp snooping enbale等命令,验证被trust的端口才能合法获取IP地址,untrust端口获取不到它的地址。

本次实验上最终实现的就是,当ACCESS,G0/0/3端口是,dhcp snooping trusted 的时候,G0/0/24端口是dhcp snooping enable

评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值