【HUAWEI&H3C】对比华为和华三的DHCP Relay和DHCP Snooping配置

最新推荐文章于 2024-05-08 10:02:12 发布
最新推荐文章于 2024-05-08 10:02:12 发布
阅读量1.4k 收藏 9
点赞数 1
分类专栏: 网络设备原理与配置 安全 文章标签: 华为 华三 DHCP Snooping
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u012468770/article/details/103911077
版权
本文详细介绍了华为和华三设备上DHCP Relay和DHCP Snooping的配置步骤,以及如何防范DHCP饿死攻击。通过配置示例,展示了如何在AR1和AR2上设置DHCP服务和中继,以及在LSW2上启用Snooping功能,确保网络安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原理

DHCP 饿死攻击

DHCP饿死攻击是指攻击者伪造chaddr字段各不相同的DHCP请求报文,向DHCP服务器申请大量的IP地址,导致DHCP服务器地址池中的地址耗尽,无法为合法的DHCP客户端分配IP地址,或导致DHCP服务器消耗过多的系统资源,无法处理正常业务。

如果封装DHCP请求报文的数据帧的源MAC地址各不相同,则通过mac-address max-mac-count命令限制端口可以学习到的MAC地址数,并配置学习到的MAC地址数达到最大值时,丢弃源MAC地址不在MAC地址表里的报文,能够避免攻击者申请过多的IP地址,在一定程度上缓解DHCP饿死攻击。此时,不存在DHCP饿死攻击的端口下的DHCP客户端可以正常获取IP地址,但存在DHCP饿死攻击的端口下的DHCP客户端仍可能无法获取IP地址。

如果封装DHCP请求报文的数据帧的MAC地址都相同,则通过mac-address max-mac-count命令无法防止DHCP饿死攻击。在这种情况下,需要启用DHCP Snooping的MAC地址检查功能。启用该功能后,DHCP Snooping设备检查接收到的DHCP请求报文中的chaddr字段和数据帧的源MAC地址字段是否一致。如果一致,则认为该报文合法,将其转发给DHCP服务器;如果不一致,则丢弃该报文。

 

拓扑图如下:

=

最低0.47元/天 解锁文章
DHCP攻击防护
scy1034446395的博客
02-19 901
DHCP攻击类型与其对应的防护措施
H3C_DHCP_snooping配置
zsisle的博客
07-07 1万+
DHCP SnoopingDHCP的一种安全特性,主要应用在交换机上,作用是屏蔽接入网络中的非法的DHCP服务器。即开启DHCP Snooping功能后,网络中的客户端只有从管理员指定的DHCP服务器获取IP地址。
H3C DHCP Snooping+IP source guard 配置
最新发布
normanhere的博客
05-08 772
1、IP Source Guard功能,该功能可以对端口收到的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性。4、具体配置 参照 https://blog.youkuaiyun.com/zdl244/article/details/103193145。3、小型局域网,大部分设备使用DHCP 或者DHCP RELAY 分配地址,少部分使用静态IP地址的场景。2、dhcp snooping 功能又可以限制非法DHCP服务器的接入。
h3c dhcp snooping
weixin_30642029的博客
08-23 776
1.组网需求Switch B通过以太网端口Ethernet1/1连接到DHCP服务器,通过以太网端口Ethernet1/2、Ethernet1/3连接到DHCP客户端。要求:l与DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。l记录DHCP-REQUEST信任端口收到的DHCP-ACK广播报文中DHCP客户端IP地址及MAC地址的绑定关系。...
华三H3C交换机如何配置dhcp服务,如何开启dhcp snooping
热门推荐
年华日记的博客
11-03 2万+
华三交换机如何配置dhcp,开启dhcp snooping 一,核心交换机SW配置 使能dhcp [SW]dhcp enable 创建vlan10并配置交换机vlan10地址 [SW]vlan 10 [SW-vlan10]inter vlan 10 [SW-Vlan-interface10]ip add 192.168.10.1 24 创建dhcp地址池vlan10并配置 [SW]dhcp server ip-pool vlan10 //创建地址池,名为vlan10 [SW-dhcp-pool-vlan
H3C网络设备简单实验,STP DHCP SNOOPING
NeverGUM的博客
10-24 3963
实验目的 之前一直对H3C的交换机网络设备STPDHCP snooping不大熟练,今天做一下简单的整理记录 通过拓补,我们可以掌握华三网络设备的STP的配置方法,观察端口之间的关系,理解根端口,指定端口备份端口的关系 ,也可以掌握dhcp snooping的用法 STP: 在有环的网络中,通过运行STP协议,从而生成了无环的网络,避免了广播风暴,地址翻摆,MAC震荡,而这种环状网...
H3C交换机DHCP Snooping抑制局域网内非法dhcp
qq_30394823的博客
04-17 1万+
我单位有华三交换机共39台,一种核心交换机s5750-2台,ap交换机s5130-5台,楼层有线(网线)电脑交换机s5130-32台。由其中一台核心交换机做dhcp服务器,通过光纤连接所有s5130交换机的24口。核心交换机共划分了4个vlan,vlan1做管理,vlan2走ap信号,vlan3vlan4走楼层的网线电脑交换机。 最近发现有人在办公室内私接路由器,并且因为大意,把...
3C模拟器 DHCP Snooping 、中继 实例配置
weixin_33749131的博客
04-18 4572
1.DHCP 实例配置 ## 配置步骤(在路由器上配置) ### (1) # 配置接口的 IP 地址。 <H3C> system-view [H3C] interface g 0/0 [[H3C-GigabitEthernet0/0]] ip address 192.168.1.254 24 [[H3C-GigabitEthernet0/0]] quit ### (2)# 启用 ...
华三交换机开机dhcp snooping
qq_42906357的博客
12-29 1734
华三交换机开启dhcp snooping dhcp snooping enable int gig0/0/1 dhcp snooping trust dis dhcp snooping trust
h3c S2000-EA 交换机DHCP Snooping支持Option 82功能的配置
net527的专栏
10-18 1130
<br />一、  组网需求:<br />Switch 的端口Ethernet1/0/5与DHCP 服务器端相连,端口Ethernet1/0/1,Ethernet1/0/2,Ethernet1/0/3分别与DHCP Client A、DHCP Client B、DHCP Client C相连。<br />(1)在Switch上开启DHCP Snooping功能 。<br />(2)设置Switch上端口Ethernet1/0/5为DHCP Snooping信任端口。<br />(3)在Switch
华为层交换机配置DHCP配置
zjc801的专栏
01-27 1万+
华为层交换机配置DHCP配置 1,交换机作DHCP Server 『配置环境参数』 1.PC1、PC2的网卡均采用动态获取IP地址的方式 2.PC1连接到交换机的以太网端口0/1,属于VLAN10;PC2连接到交换机的以太网端口0/2,属于VLAN20 3.层交换机SwitchA的VLAN接口10地址为10.1.1.1/24,VLAN接口20地址为10.1.2.1/24 『组网需求
H3C交换机禁止从非法DHCP获取到IP的配置方法
02-06
H3C交换机禁止从非法DHCP获取到IP的配置方法
DHCP Snooping功能的详细分析.doc
04-06
DHCP Snooping功能的详细分析
H3C 2种型号交换机防止非法DHPCP接入配置
05-05
H3C 交换 2种型号 DHCPSnOOPING设置.H3C有2种类型的交换机,配置方法不同,通过以上文档,可以轻松解决非法DHCP问题。此文档适用于核心交换机可网管型二层交换机
解决IP地址冲突的完美方法--DHCP SNOOPING
03-26
解决IP地址冲突的完美方法--DHCP SNOOPING 使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING功能。 例子: version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption service compress-config ! hostname C4-2_4506 ! enable password xxxxxxx! clock timezone GMT 8 ip subnet-zero no ip domain-lookup ! ip dhcp snooping vlan 180-181 // 对哪些VLAN 进行限制 ip dhcp snooping ip arp inspection vlan 180-181 ip arp inspection validate src-mac dst-mac ip errdisable recovery cause udld errdisable recovery cause bpduguard errdisable recovery cause security-violation errdisable recovery cause channel-misconfig errdisable recovery cause pagp-flap errdisable recovery cause dtp-flap errdisable recovery cause link-flap errdisable recovery cause l2ptguard errdisable recovery cause psecure-violation errdisable recovery cause gbic-invalid errdisable recovery cause dhcp-rate-limit errdisable recovery cause unicast-flood errdisable recovery cause vmps errdisable recovery cause arp-inspection errdisable recovery interval 30 spanning-tree extend system-id ! ! interface GigabitEthernet2/1 // 对该端口接入的用户进行限制,可以下联交换机 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/2 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/3 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/4 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 --More-- 编者注:对不需要明确地址的所有人的时候是一个很好的解决办法。另外,可以查看www.cisco.com的 IP Source Guard Similar to DHCP snooping, this feature is enabled on a DHCP snooping untrusted Layer 2 port. Initially, all IP traffic on the port is blocked except for DHCP packets that are captured by the DHCP snooping process. When a client receives a valid IP address from the DHCP server, or when a static IP source binding is configured by the user, a per-port and VLAN Access Control List (PACL) is installed on the port. This process restricts the client IP traffic to those source IP addresses configured in the binding; any IP traffic with a source IP address other than that in the IP source binding will be filtered out. This filtering limits a host&#39;s ability to attack the network by claiming neighbor host&#39;s IP address.
解决IP地址冲突的完美方法-DHCP SNOOPING.pdf
06-03
解决IP地址冲突的完美方法-DHCP SNOOPING.pdf
2个网卡配置相同ip 华为交换机_华为交换机自动获取ip配置
weixin_42336364的博客
01-14 1465
利用全局地址池方式,可以完成为用户分配与层交换机本身VLAN接口地址不同网段的IP地址。2,DHCP Relay配置配置环境参数』1. DHCP Server的IP地址为192.168.0.10/242. DHCP Server连接在交换机的G1/1端口,属于vlan100,网关即交换机vlan接口100的地址192.168.0.1/243. E0/1-E0/10...
H3C层交换机S5500初始配置+网络访问策略
06-25 4267
DHCP中继配置命令 dhcp relay address-check enable 命令用来使能DHCP 中继的地址匹配检查功能。 undo dhcp relay address-check enable 命令用来禁止DHCP 中继的地址匹配检查功能。 {常用命令汇总:1、dis cu (display current-configuration);查看设备当前生效...
防止私自接交换机_H3C S3100-SI系列交换机利用DHCP Snooping防止内网私自接入DHCPServer...
weixin_35600835的博客
12-23 1553
H3C 3100 SI系列的交换机与其他高端系列相比,功能方面相对弱了很多,而DHCP Snooping 功能支持也有差异。正常情况下,设备启用了DHCP Snooping之后,所有端口都属于不受信任端口,我们可以将直接或者间接连接至DHCPSnooping的端口通过 "dhcp-snooping trust"命令设置为信任端口,其他端口则默认属于不受信任端口,这样就可以通过dhcp ackdh...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值