华为ensp---DHCP SNOOPING实验

最新推荐文章于 2025-03-22 21:05:05 发布
最新推荐文章于 2025-03-22 21:05:05 发布
阅读量1.7k 收藏 9
点赞数
分类专栏: HCIA 文章标签: 华为 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_33754943/article/details/125215611
版权

DHCP 三层交换机 DHCPSNOOPING 静态路由 网络配置
关键词由优快云通过智能技术生成

场景:企业内部有独立的DHCP服务器,但是需要跨三层分配地址给终端。

解决办法:三层交换机开启DHCP SNOOPING

拓扑图

在这里插入图片描述
交换机配置:
因为AR中没有192.168.20.0和192.168.40.0的路由表,所以在AR中要添加静态路由

[SW1]vlan batch 20 30 40  
[SW1]interface Vlanif20
[SW1]ip address 192.168.20.1 255.255.255.0
[SW1]dhcp select relay
[SW1]dhcp relay server-ip 192.168.30.254
[SW1]interface Vlanif30
[SW1]ip address 192.168.30.1 255.255.255.0
[SW1]interface Vlanif40
[SW1]ip address 192.168.40.1 255.255.255.0
[SW1]dhcp select relay
[SW1]dhcp relay server-ip 192.168.30.254
[SW1]interface GigabitEthernet0/0/1
[SW1]port link-type access
[SW1]port default vlan 20
[SW1]dhcp snooping enable
[SW1]interface GigabitEthernet0/0/2
[SW1]port link-type access
[SW1]port default vlan 30
[SW1]dhcp snooping trusted
[SW1]interface GigabitEthernet0/0/4
[SW1]port link-type access
[SW1]port default vlan 40
[SW1]dhcp snooping enable

DHCP服务器配置(AR代替)

[SW1]dhcp enable
[SW1]ip pool vlan20
[SW1]gateway-list 192.168.20.1 
[SW1]network 192.168.20.0 mask 255.255.255.0 
[SW1]excluded-ip-address 192.168.20.254 
[SW1]dns-list 8.8.8.8 
[SW1]ip pool vlan40
[SW1]gateway-list 192.168.40.1 
[SW1]network 192.168.40.0 mask 255.255.255.0 
[SW1]dns-list 8.8.8.8 
[SW1]interface GigabitEthernet0/0/0
[SW1]ip address 192.168.30.254 255.255.255.0 
[SW1]dhcp select global
[SW1]ip route-static 192.168.20.0 255.255.255.0 192.168.30.1
[SW1]ip route-static 192.168.40.0 255.255.255.0 192.168.30.1

结果:终端成功获得地址

在这里插入图片描述
在这里插入图片描述

三层交换机ND Snooping协议,说明
lyeffort的博客
03-21 435
三层交换机ND Snooping协议,说明
eNSP模拟器中DHCP实验4(DHCP Snooping
qq_44858960的博客
04-05 2420
-----实验简单的演示DHCP Snooping的配置过程---- 1. 实验与拓扑图及相关说明 DHCP Snooping 的应用场景:如图,此时存在2个DHCP服务器,但是受信的只有DHCPServer1,无法验证DHCPServer2的安全性。所以PC1只需要从DHCPServer1处获得IP地址即可,拒绝Server2处的DHCP ack 应答报文。 拓扑图说明:实验使用2台AR2...
华为DHCP Snooping实验配置
qq_33958560的博客
05-14 947
DHCP Snooping实验配置 目录 DHCP Snooping实验配置 实验拓扑 配置思路 配置过程 查看结果 DHCP Snooping 是为了让用户从合法的DHCP 服务器上获取到IP地址。避免接入用户私接DHCP服务器造成DHCP攻击 本篇文章重点在于DHCP Snooping配置,前期DHCP配置查看此篇文章https://blog.youkuaiyun.com/qq_33958560/article/details/116780743 实验拓扑 配置思路 全局开启DHC..
ensp (dhcp snooping配置实验
qq_46258964的博客
08-21 3200
DHCP 安全 防治和保护 dhcp shooping 相当于交换机里面形成了一个无形的防火墙 如图 配置步骤 防止仿冒DHCP Server攻击方法**(在交换机上配置)** [Huawei]dhcp enable 交换机上开启DHCP [Huawei]dhcp snooping enable 交换机上开启DHCP snooping [Huawei]vlan 1 [Huawei-vlan1]dhcp snooping enable [Huawei]interfa
eNSP实验——DHCP配置(接口模式+全局模式+中继模式)
最新发布
记录
03-22 3539
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一种网络协议,用于自动分配IP 地址、子网掩码、默认网关、DNS服务器等网络参数给客户端设备。它简化了网络管理,避免了手动配置 IP 地址的繁琐和错误。
华为eNSP实验DHCP Snooping
2301_79997551的博客
10-21 1389
LSW1-GigabitEthernet0/0/3]dhcp snooping max-user-number 1 //设置DCHP获取IP地址最大数量为1。[LSW1-vlan1]dhcp snooping trusted interface g0/0/1 //设置g0/0/1接口为信任接口。[R1-GigabitEthernet0/0/0]dhcp select interface //基于接口的DHCP。[R1]dhcp enable //开启DHCP
华为eNSP:配置DHCP Snooping
nankon_的博客
11-04 1763
DHCP服务器。
enspDHCP snooping防护
王先生的蒋小姐的博客
04-16 4591
前言 1,DHCP SnoopingDHCP的一种安全特性,通过截获DHCP Client和DHCPServer之间的DHCP报文并进行分析处理,可以过滤不信任的DHCP报文并建立和维护一个DHCP Snooping绑定表。 2,该绑定表包括MAC地址、IP地址、租约时间、绑定类型、VLAN ID、接口等信息。 3,DHCP Snooping通过记录DHCPClient的IP地址与MAC地址的...
ensp DHCP snooping
QQASDWW的博客
07-08 687
dhcpsnooping
华为ENSP网络实验 (3).pdf
06-09
华为ENSP网络实验】是针对网络工程师和学习者设计的一系列实践操作,旨在通过模拟真实网络环境来提升技能和理解。实验涵盖了多个关键的网络技术领域,包括交换机配置、VLAN设置、RSTP操作、路由协议、VRRP、DHCP、...
华为ENSP全系实验.zip
07-06
详解路由器的DHCP Snooping 的配置 详解路由策略和通过抓取IP前缀ip-prefix引入路由 详解路由策略 详解交换路由VRRP+MSTP+路由策略综合配置 详解防火墙双机组网环境中的 详解防火墙的GRE、NAT配置 详解防火墙VRRP、...
解决IP地址冲突的完美方法--DHCP SNOOPING
03-26
解决IP地址冲突的完美方法--DHCP SNOOPING 使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING功能。 例子: version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption service compress-config ! hostname C4-2_4506 ! enable password xxxxxxx! clock timezone GMT 8 ip subnet-zero no ip domain-lookup ! ip dhcp snooping vlan 180-181 // 对哪些VLAN 进行限制 ip dhcp snooping ip arp inspection vlan 180-181 ip arp inspection validate src-mac dst-mac ip errdisable recovery cause udld errdisable recovery cause bpduguard errdisable recovery cause security-violation errdisable recovery cause channel-misconfig errdisable recovery cause pagp-flap errdisable recovery cause dtp-flap errdisable recovery cause link-flap errdisable recovery cause l2ptguard errdisable recovery cause psecure-violation errdisable recovery cause gbic-invalid errdisable recovery cause dhcp-rate-limit errdisable recovery cause unicast-flood errdisable recovery cause vmps errdisable recovery cause arp-inspection errdisable recovery interval 30 spanning-tree extend system-id ! ! interface GigabitEthernet2/1 // 对该端口接入的用户进行限制,可以下联交换机 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/2 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/3 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/4 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 --More-- 编者注:对不需要明确地址的所有人的时候是一个很好的解决办法。另外,可以查看www.cisco.com的 IP Source Guard Similar to DHCP snooping, this feature is enabled on a DHCP snooping untrusted Layer 2 port. Initially, all IP traffic on the port is blocked except for DHCP packets that are captured by the DHCP snooping process. When a client receives a valid IP address from the DHCP server, or when a static IP source binding is configured by the user, a per-port and VLAN Access Control List (PACL) is installed on the port. This process restricts the client IP traffic to those source IP addresses configured in the binding; any IP traffic with a source IP address other than that in the IP source binding will be filtered out. This filtering limits a host's ability to attack the network by claiming neighbor host's IP address.
华为ENSP综合实验:eth-trunk、vlan底层、vrrp负载分担、MSTP、DHCP中继
m0_63775189的博客
10-29 6688
这个实验结合了华为多种策略协议,适合做公司、部门内部网络规划,其中在在这个基础上可以添加ACL访问控制禁止部门互访,AC部署无线网络,也可以部署FTP、DNS、www服务器。在这个基础上可以增加多种网络元素,但也有不足之处,即没有做好核心部分下行的网络冗余及聚合链路的多样配置,当核心的下行接口故障,PC端则无法获取到地址,这个我目前还在寻找解决的方法,如有大神知晓,请留言相告,不胜感激。
DHCP Snooping实验
weixin_33946605的博客
10-24 527
DHCP Snooping实验配置命令 说明:“ip dhcp snooping binding 000f.1fc5.1008 vlan 10 192.168.10.131 int f1/2 expiry 692000”条目中“expiry”参数为4294967295时表示绑定永不过期。 1、单机交换(DHCP服务器和DHCP客户端位于同一VLAN) 环境:Windows2003 DHCP服务器和...
华为DHCP Snooping原理及其实验配置
热门推荐
爱学习的JackYang的博客
07-30 1万+
DHCP Snooping原理 DHCPSnooping是一种DHCP安全特性,通过截获DHCPClient和DHCPRelay之间的DHCP报文并进行分析处理,可以过滤不信任的DHCP报文并建立和维护一个DHCPSnooping绑定表(untrust)。 DHCPSnooping通过对这个绑定表的维护,建立一道在DHCPClient和DHCPServer之间的防火墙 DHCPSnooping可以解决设备应用DHCP时遇到的DHCPDOS(DenialofService)攻击...
“配置DHCP Snooping实验:保护网络中的DHCP服务和防止欺骗攻击“
傻傻的心动的博客
06-10 5110
"配置DHCP Snooping实验:保护网络中的DHCP服务和防止欺骗攻击"
网络精通-DHCP snooping
不定期分享一些自己的学习笔记
10-21 1044
网络精通-DHCP snooping
华为eNSP DHCP中继 、DHCP Snooping安全及配置
qq_63822856的博客
06-22 1898
ensp模拟器,DHCP中继的配置,DHCP安全问题和问题解决方法。
华为eNSP配置DHCP Snooping防欺骗
嘻嘻哥哥~的博客
02-19 5303
DHCP Snooping防欺骗 R1真DHCP服务器配置: <Huawei>system-view #进入系统视图 Enter system view, return user view with Ctrl+Z. [Huawei]sysname R1 #更改设备名称为R1 [R1]dhcp enable
ensp实验 DHCP Snooping配置
10-23
EnSP(Enterprise Network Security Platform)是一个企业级网络安全平台,它通常用于大型网络环境中提供网络安全控制。DHCP Snooping是其的一项功能,它在DHCP(Dynamic Host Configuration Protocol)服务器上启用的一种安全机制。 DHCP Snooping主要用于防止未授权用户从非法设备获取IP地址,防止IP欺骗攻击。当DHCP Snooping开启后,交换机会对接收到的DHCP报文进行检查,只允许源自已知和信任的DHCP服务器的报文通过。以下是基本的DHCP Snooping配置步骤: 1. **启用DHCP Snooping**:在华为、Cisco等网络设备的命令行界面下,启用DHCP Snooping功能并为其分配一个全局VLAN ID。 ```bash [Huawei] dhcp snooping enable [Huawei] interface VLANif <vlan-id> [Huawei-VlanIf<vlan-id>] dhcp snooping enable ``` 2. **配置信任端口**:指定哪些接口作为信任接口,它们不会受到DHCP Snooping规则的限制。 ```bash [Huawei-VlanIf<interface-name>] dhcp snooping trusted interface ``` 3. **创建黑名单/白名单**:可以配置DHCP Snooping表来阻止或允许特定MAC地址或IP范围。 ```bash [Huawei-VlanIf<vlan-id>] dhcp snooping static-bind ip-address <ip> mac-address <mac> [Huawei-VlanIf<vlan-id>] dhcp snooping untrust-port-security enable ``` 4. **配置陷阱和日志**:设置违规操作后的响应策略,如发送告警信息,并记录事件日志便于审计。 5. **绑定终端和接口**:如果需要进一步精确控制,可以绑定具体的终端设备到接口上。 完成以上配置后,DHCP Snooping会在指定的VLAN内监控DHCP活动,保护网络免受恶意租户的影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值