华为企业交换机,用DHCP SNOOPING防止私接小路由实验

最新推荐文章于 2025-03-23 21:09:21 发布
原创 最新推荐文章于 2025-03-23 21:09:21 发布 · 1.2w 阅读 · 60 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文通过一个实验展示了如何利用华为企业交换机的DHCP Snooping功能,防止非法客户端私接小路由,确保网络中PC只能从核心DHCP服务器获取合法IP地址。实验设置包括多个VLAN和DHCP地址池,通过对比信任与非信任端口,验证了DHCP Snooping的有效性。

导语:

在企业中,数据的安全一向是重要的,为了防止客户端私接小路由影响企业内部网络,华为企业交换机有这样的命令

Dhcp snooping

思路:

合法的DHCP客户端使用,dhcp snooping trusted 

不合法的DHCP客户端使用,dhcp snooping enable

实验:

我们假设这样的一个场景,在企业网络架构中。核心交换机(CORE)下接了接入交换机(ACCESS),然后有非法客户端DHCP交换机(UNTRUST)接了接入交换机(ACCESS)的G0/0/24端口,拓补图如下。

实验思路:

CORE:创建VLAN 10,VLAN 20,分别配置VLAN10 ,VLAN 20的网段,为192.168.10.254,192.168.20.254,在G0/0/1端口做trunk,透传VLAN 10 ,20.

ACCESS:创建vlan10,20,使得PC1和PC2分别属于VLAN 10 ,20 ,并在G0/0/3,G0/0/24端口做trunk,透传VLAN10 ,20

UNTRUST:创建vlan10 ,20,创建VLANIF地址池,vlan10,192.168.100.254,vlan20 192.168.200.254,在G0/0/24端口下透传VLAN10,vlan20

实验目的:

当同时存在两个DHCP客户端的时候,且地址池都是VLAN10或VLAN20的地址池,那么PC获取地址的时候默认获取哪个地址池的呢?显然是可以获取到仿冒客户端的IP地址的,这也是我们不希望看到的。

我们尝试用dhcp snooping enbale等命令,验证被trust的端口才能合法获取IP地址,untrust端口获取不到它的地址。

本次实验上最终实现的就是,当ACCESS,G0/0/3端口是,dhcp snooping trusted 的时候,G0/0/24端口是dhcp snooping enable

最低0.47元/天 解锁文章

新学期VIP享超值加赠
什么是DHCP Snooping?如何配置DHCP Snooping
网络技术联盟站
06-14 624
功能描述防护类型防御伪造 DHCP 服务器、避免地址冲突、增强网络安全性使用场景企业园区网、校园网、大型局域网配合机制IP Source Guard、DAI、防止 ARP 欺骗部署难度⭐⭐(简单)“DHCP Snooping,是内网 DHCP 安全防护的第一道门神。” 🛡️。
企业网络项目调试系列-05核心网安全 DHCP SERVER与DHCP SNOOPING配置
king01299的博客
09-16 1856
企业网络 DHCP SERVER DHCP SNOOPING
DHCP Snooping典型配置举例(如何防止路由器乱问题)
初学者的专栏
10-08 1636
全局开启DHCP Snooping配置举例· 与合法DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。· 记录DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文中DHCP客户端IP地址及MAC地址的绑定信息。‌。
华为配置DHCP Snooping防止DHCP Server仿冒者攻击示例
专研计算机网络,数据通信,网络安全,系统集成
03-07 1903
在一次DHCP客户端动态获取IP地址的过程中,DHCP Snooping会对客户端和服务器之间的DHCP报文进行分析和过滤。通过合理的配置实现对非法服务器的过滤,防止用户端获取到非法DHCP服务器提供的地址而无法上网。网络中有个别终端用的是Windows Server 2003或者2008系统,默认开启了DHCP分配IP的服务。一些入层的端口连有开启了DHCP分配IP服务的无线路由器。我们推荐在用户入层交换机上面部署DHCP Snooping功能,越靠近PC端口控制的越准确。
华为S5700 防止路由
qq_33876106的博客
05-17 4805
华为S5700 防止路由器 使用DHCP Snooping功能 使用全局DHCP Snooping功能。 [Switch] dhcp enable [Switch] dhcp snooping enable 使能用户侧口的DHCP Snooping功能。 [Switch] interface gigabitethernet 0/0/1 [Switch-GigabitEthernet0/...
配置华为交换机防止自设置DHCP服务器
weixin_33681778的博客
11-23 3576
1.进入VLAN1〓 [Quidway]interface Vlan-interface1IT 2.为VLAN1配置IP地址 [Quidway-Vlan-interface1]ip address 192.168.0.254255.255.255.0 3.进入Ethernet0/1端口 [Quidway-Vlan-interface1]interface Eth...
防止路由
qq274575499的博客
12-19 2491
防止路由器,电脑获取到IP地址不是DHCP服务器的IP地址段,导致整个公司网络瘫痪。
华为ENSP-禁止路由发布DHCP
m0_67362887的博客
03-23 395
信任区主机发出discover包,没有收到路由offer包,被交换机过滤。vlan通过隔离冲突域禁止信任区外部路由发送信息给信任区内主机。snooping通过建立信任端口,只允许特定端口发出DHCP包。acl通过建立规则在客户端口禁止服务器发出的dhcp进入交换机。通过DHCP snooping禁止设服务器的DHCP报文。通过ACL访问控制列表,禁止用户区域DHCP服务器报文。路由收到discover包,并发送offer包。通过vlan实现故障隔离。
DHCP+DHCP snooping知识整理
zhang175gl的博客
03-04 1013
动态主机配置协议(Dynamic Host Configuration Protocol),简称DHCP,是一个应用于局域网的网络协议,该协议允许服务器向客户端动态分配IP地址和配置信息。 DHCP位于OSI模型的应用层,使用UDP协议工作,主要有两个用途,一个是用于内部网或网络服务供应商自动分配IP地址给用户,另一个是用于内部网管理员作为对所有电脑作中央管理的手段。 DHCP具有如下几点功能: ...
DHCP高阶应用系列之《dhcp-snooping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址》
weixin_44645270的博客
07-18 2909
DHCP高阶操作系列之《dhcp-snoping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址》
华为核心交换机配置dhcp
最新发布
06-01
下来,需要整理华为交换机配置DHCP服务器的步骤。通常步骤包括启用DHCP功能、创建地址池、配置地址池参数(网关、DNS、子网等)、在口上启用DHCP全局或口模式。同时,可能涉及路由配置,确保DHCP服务器可达。...
H3C 2种型号交换机防止非法DHPCP配置
05-05
H3C 交换 2种型号 DHCPSnOOPING设置.H3C有2种类型的交换机配置方法不同,通过以上文档,可以轻松解决非法DHCP问题。此文档适用于核心交换机和可网管型二层交换机
防止交换机_【s5700交换机防止用户设IP
weixin_42458128的博客
12-23 1670
设备类型:华为S5700系列交换机应用场景:在不靠vlan的情况下,实现端口IP隔离,防止入用户自使用未分配的IP以下方法是 IP+MAC+端口 的绑定,这样可以使未绑定(分配)的IP不被非法使用。此方法需要用到DHCP Snooping 功能。1、先开启全局DHCP Snooping[HUAWEI] dhcp snooping enable2、配置端口所属vlan[HUAWEI] vla...
解决dhcp服务器(华为交换机snooping功能)
yjg428的专栏
12-23 877
2 系统视图下dchp snooping enable。2 pc4可从 AR3、AR3-1获取DHCP服务。1 pc1、pc2只能从AR3获取DHCP服务。5 int g0/0/4 【非信任端口】3 int g0/0/1 【信任端口】1 系统视图下dchp enable。
配置交换机端口安全:要求控制交换机端口安全,禁止网络设备
彭淦淦的博客
04-25 2713
1.1 问题 1)要求控制交换机端口安全,禁止网络设备 2)PC1可以ping通Server1,PC2无法ping通Server1 1.2 方案 实验拓扑如图-1所示,搭建实验环境时首先确保PC1正常通信,再加入PC2。 图-1 1.3 步骤 实现此案例需要按照如下步骤进行。 1)在交换机LSW1上配置 interface Ethernet0/0/1 port-security enab...
DHCP Snooping基本原理
wsasy12345的博客
06-03 6451
DHCP Snooping基本原理 使能了DHCP Snooping的设备将用户(DHCP客户端)的DHCP请求报文通过信任口发送给合法的DHCP服务器。之后设备根据DHCP服务器回应的DHCP ACK报文信息生成DHCP Snooping绑定表。后续设备再从使能了DHCP Snooping收用户发来的DHCP报文时,会进行匹配检查,能够有效防范非法用户的攻击。 DHCP Snooping信任功能 DHCP Snooping的信任功能,能够保证客户端从合法的服务器获取IP(Internet
禁止员工网络设备到公司网络中
IT界的无名小卒
02-07 1952
禁止员工网络设备到公司网络中 背景: 相信每一个IT管理员都会时常碰到,员工自把自己的无线路由器(AP模式)入到公司网络使得自己的无线设备可以连上网。或者自级联交换机获得更多的网络端口。这种没有得到授权的操作,给IT带来了诸多的烦恼,例如 a.网络出口带宽被非业务流量长时间占用,导致正常业务用户网络缓慢。b. 无线频段与公司无线频段形成干扰,影响正常WiFi用户使用无线 解决方案: 这里介绍一种禁止自级联交换机路由器的解决方案,当然这里的交换机是需要网管型的交换机才可以。 使用PORTFAS
路由如何防范?怎样禁止内网路由器?
weixin_34406086的博客
04-28 5874
现在的便携式路由器非常的小巧轻便,而且即插即用,很受大家的喜爱。但是,对于局域网的网管人员来说,这个小东西造成的危害可不小,比如:设备绕开管控,占用大量带宽资源。导致IP地址冲突,影响网络正常运行。提供不合法的DHCP服务,使局域网其他客户机获取到错误的IP地址。我相信大部分网络管理人员都被它坑过。今天我就来分享下一些常见的解决方案。最根本的解决方法,是在交换机上进行限制...
DHCP DHCP Snooping
weixin_55932038的博客
05-08 1311
因为DHCP客户端发送的DHCP Discover报文是以广播形式发送,无论是合法的DHCP 服务器,还是非法的DHCP Server都可以收到DHCP Discover报文,如果此时非法的DHCP仿冒服务器,回应给DHCP 客户端,恶意的仿冒信息(如:错误的IP、错误的网关、错误的DNS),DHCP 客户端无法分辨这些信息,所以最终导致DHCP客户端无法上网和信息泄露。-DHCP SnoopingDHCP 客户端和DHCP 服务器之间建立一道虚拟防火墙,以抵御网络中针对DHCP的各种攻击。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值