H3C S3100-SI系列交换机利用DHCP Snooping防止内网私自接入DHCPServer

最新推荐文章于 2025-05-29 10:23:56 发布
最新推荐文章于 2025-05-29 10:23:56 发布
阅读量2k 收藏 4
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_34391445/article/details/85092344
H3C3100SI系列交换机因默认端口信任特性,无法直接通过DHCPSnooping屏蔽非法DHCP服务器。通过启用DHCP防伪冒功能并设置端口为不信任及shutdown策略,可有效检测和阻止非法DHCP服务器。

H3C 3100 SI系列的交换机与其他高端系列相比,功能方面相对弱了很多,而DHCP Snooping 功能支持也有差异。

正常情况下,设备启用了DHCP Snooping之后,所有端口都属于不受信任端口,我们可以将直接或者间接连接至DHCPSnooping的端口通过 "dhcp-snooping trust"命令设置为信任端口,其他端口则默认属于不受信任端口,这样就可以通过dhcp ack和dhcp offer 包来屏蔽掉非法的dhcp server.

而3100 SI系列启用dhcp snooping后,默认所有端口都是可信任端口。 这样就导致了单纯启用dhcp snooping 起不到屏蔽非法dhcp server的作用。

因此 3100 SI系列交换机多了一项DHCP防伪冒功能,这个功能的原理就是交换机会从启用防伪冒功能的端口向外发送DHCP-DISCOVER报文,用于探测连接到该端口的DHCP服务器,如果接收到回应报文DHCP-OFFER报文,则认为该端口连接了仿冒的DHCP服务器,交换机会根据配置的处理策略进行处理,通常可以配置的策略为trap和shutdown。

配置非常简单:

#全局启用dhcp snooping:
[6FB-S3100-57]dhcp-snooping
#在直接连接dhcp 客户端的端口上启用防伪冒功能和处理策略
[6FB-S3100-57-Ethernet1/0/33]dhcp-snooping server-guard enable

[6FB-S3100-57-Ethernet1/0/33]dhcp-snooping server-guard method shutdown

当对应端口接入非法dhcp server 后,交换机会自动将端口管理型shutdown.
看一下日志:

2018-05-10 14:01:55 Local7.Alert    172.16.1.57 May 10 14:01:55 2018 6FB-S3100-57 %%10DHCP-SNP/2/DHCPSNOOPING SERVER GUARD(t):- 1 -  Trap 1.3.6.1.4.1.2011.10.2.36.2.0.1(h3cDhcpSnoopSpoofServerDetected): portIndex 4227882 detect DHCP server in VLAN 4 MAC is 1c.39.47.c6.a8.a2 IP is 172.16.4.21  
2018-05-10 14:01:55 Local7.Warning  172.16.1.57 May 10 14:01:55 2018 6FB-S3100-57 %%10DHCP-SNP/5/dhcp-snooping server guard(l):- 1 -   Port 33 detect DHCP server in VLAN 4 MAC is 1c39-47c6-a8a2 IP is 172.16.4.21   
2018-05-10 14:01:56 Local7.Alert    172.16.1.57 May 10 14:01:56 2018 6FB-S3100-57 %%10L2INF/2/PORT LINK STATUS CHANGE(t):- 1 -  Trap 1.3.6.1.6.3.1.1.5.3(linkDown): portIndex is 4227882, ifAdminStatus is 2, ifOperStatus is 2 
2018-05-10 14:01:56 Local7.Warning  172.16.1.57 May 10 14:01:56 2018 6FB-S3100-57 %%10L2INF/5/PORT LINK STATUS CHANGE(l):- 1 -  Ethernet1/0/33 is DOWN

这样我们可以通过监控平台监控交换机的端口管理状态(正常为1,管理性关闭变为2)即可及时知道哪些端口介入了非法DHCP Server,如下图示

H3C S3100-SI系列交换机利用DHCP Snooping防止内网私自接入DHCPServer

怎么屏蔽局域网内的其他dhcp server
weixin_33971977的博客
05-11 2781
DHCP SnoopingDHCP SnoopingDHCP监听将交换机端口划分为两类:信任端口(Trust):连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口;非信任端口(Untrusted):通常为连接终端设备的端口,如PC,网络打印机等。HCP Snooping的作用:1.DHCP Snooping的主要作用就是通过配置非信任端口,隔绝非法的DHCP Serve...
H3C_DHCP_snooping的配置
热门推荐
zsisle的博客
07-07 1万+
DHCP SnoopingDHCP的一种安全特性,主要应用在交换机上,作用是屏蔽接入网络中的非法的DHCP服务器。即开启DHCP Snooping功能后,网络中的客户端只有从管理员指定的DHCP服务器获取IP地址。
华三交换机排除非法dhcp 命令
04-17
交换机通过以太网端口GigabitEthernet1/0/1连接到合法DHCP服务器,通过以太网端口GigabitEthernet1/0/3连接到非法DHCP服务器,通过GigabitEthernet1/0/2连接到DHCP客户端。 要求: 与合法DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。记录DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文中DHCP客户端IP地址及MAC地址的绑定信息。
轻松运维之防止私自启用DHCP服务
weixin_33946020的博客
02-21 631
老实说,做一个网络管理员真不是一件轻松的事情,你在工作中总是会遇到各种各样的问题,这其中不仅仅有来自外部的***,甚至相当一部分是来自你所在企业内部用户的威胁。在企业里面,总是会有一部分用户或者出于无知,或者是故意的引发一些IT问题,给你的工作带来困扰。 想想这个情景吧,某个内部用户私自接入了一台路由器并在不知道的情况下启用了DHCP 服务,你很容易就能想到...
解决在DHCP环境下私自指定ip和私自搭建dhcp服务器的方法
u014549630的专栏
04-30 7974
网络管理员:现在用户真是不省心,自己改个IP地址;私接AP、忘关DHCP,还有的下个小黑客程序,就想在你内网里试试。单靠交换机能管吗?   测试工程师:能!很多交换机上的小功能都可帮大忙。   测试实况:   IP与MAC绑定   思科的Catalyst 3560交换机支持DHCP Snooping功能,交换机会监听DHCP的过程,交换机会生成一个IP和MAC地址对应表。思科的交换机更进一
H3C S3100-SI系列交换机操作手册详解:配置与功能概览
这份手册详细介绍了H3C S3100-SI交换机的功能特性、配置步骤以及安全设置,旨在帮助用户充分利用设备的性能并确保网络管理的高效性。 1. **概述**: - H3C S3100-SI是一款集成了多种功能的工业级以太网交换机,...
H3C S5500-SI交换机开启dhcp-snooping功能
03-23
接下来,我需要确认H3C S5500-SI交换机是否支持DHCP Snooping功能。根据H3C的文档,大多数企业级交换机都支持这个功能,但具体命令可能会因软件版本不同而有所差异。用户提到的参考引用里有一个NTP配置的例子,但和...
H3C S3100-EI系列交换机
03-25
H3C S3100-EI系列交换机是一款针对高安全性和智能化网络需求设计的以太网交换机,旨在为接入层网络提供强大的性能、全面的安全策略和便捷的管理维护。这款交换机系列旨在解决现代网络环境中常见的安全威胁、管理复杂...
H3C交换机技术专题之DHCP Server篇.chm
01-31
DHCP Server问题排查 DHCP Server 问题定位排查手册 DHCP Server 问题FAQ DHCP地址冲突原因分析 经验案例 S7500E做DHCP中继后客户端获取地址慢问题经验案例 S5024PV2-EI 开启dhcp-snooping终端无法获取地址...
H3C交换机禁止从非法DHCP获取到IP的配置方法
02-06
H3C交换机禁止从非法DHCP获取到IP的配置方法
解决IP地址冲突的完美方法--DHCP SNOOPING
03-26
解决IP地址冲突的完美方法--DHCP SNOOPING 使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING功能。 例子: version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption service compress-config ! hostname C4-2_4506 ! enable password xxxxxxx! clock timezone GMT 8 ip subnet-zero no ip domain-lookup ! ip dhcp snooping vlan 180-181 // 对哪些VLAN 进行限制 ip dhcp snooping ip arp inspection vlan 180-181 ip arp inspection validate src-mac dst-mac ip errdisable recovery cause udld errdisable recovery cause bpduguard errdisable recovery cause security-violation errdisable recovery cause channel-misconfig errdisable recovery cause pagp-flap errdisable recovery cause dtp-flap errdisable recovery cause link-flap errdisable recovery cause l2ptguard errdisable recovery cause psecure-violation errdisable recovery cause gbic-invalid errdisable recovery cause dhcp-rate-limit errdisable recovery cause unicast-flood errdisable recovery cause vmps errdisable recovery cause arp-inspection errdisable recovery interval 30 spanning-tree extend system-id ! ! interface GigabitEthernet2/1 // 对该端口接入的用户进行限制,可以下联交换机 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/2 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/3 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/4 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 --More-- 编者注:对不需要明确地址的所有人的时候是一个很好的解决办法。另外,可以查看www.cisco.com的 IP Source Guard Similar to DHCP snooping, this feature is enabled on a DHCP snooping untrusted Layer 2 port. Initially, all IP traffic on the port is blocked except for DHCP packets that are captured by the DHCP snooping process. When a client receives a valid IP address from the DHCP server, or when a static IP source binding is configured by the user, a per-port and VLAN Access Control List (PACL) is installed on the port. This process restricts the client IP traffic to those source IP addresses configured in the binding; any IP traffic with a source IP address other than that in the IP source binding will be filtered out. This filtering limits a host's ability to attack the network by claiming neighbor host's IP address.
H3C 2种型号交换机防止非法DHPCP接入配置
05-05
H3C 交换 2种型号 DHCPSnOOPING设置.H3C有2种类型的交换机,配置方法不同,通过以上文档,可以轻松解决非法DHCP问题。此文档适用于核心交换机和可网管型二层交换机
DHCP Snooping功能的详细分析.doc
04-06
DHCP Snooping功能的详细分析
二层H3C交换机-解决DHCP下发错误
Gyingxm的博客
07-07 1447
常见出现这种情况是因为在二层交换机上有其它不知名的路由器接入并未关闭DHCP服务导致影响同网段的其它主机。解决方案:在交换机上主干口配置: 在全局下配置 即可解决!顺序不可颠倒!!!顺序不可颠倒!!!顺序不可颠倒!!!...
关于h3c Magic B1无线路由器设置
weixin_34138521的博客
09-29 2308
本人需求是这样的:1、要使用现有的无线ID BELLE-WMS 2、不改网段,10.5.60.0/23 3、要能登陆AP的管理界面,目的是添加nagios等相关的监控所以如果用中继的话没办法管理界面监控设备,另用无线中继的速度估计也会很慢,因为是先绑定现有的无线BELLE-WMS再中继信号放大,所以考虑...
交换机dhcp snooping和IP source guard禁止手动配置IP (dhcp/环路防护)
wailaizhu的博客
06-07 5803
通过dhcp snooping 防止内部企业网私自接入dhcp server; 通过启用IP source guard防止内部用户私自手动配置ip地址。 CISCO: 接入dhcp snooping 配置: (config)#ip dhcp snooping (config)# ip dhcp snooping vlan 67 (config)#interface GigabitEthernet1/0/47 (config-if)#ip dhcp snooping trust 核心层需要如..
DHCP Snooping配置以及介绍
GUOJUNWEI11的博客
11-22 2725
DHCP SnoopingDHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
H3C 交换机配置 dhcp-snooping
最新发布
05-29 603
摘要 食堂售饭机网络不稳定,排查发现接入端设备过多导致网络中断。通过将网线从AC移至H3C S3600交换机8口,配置VLAN 80并启用DHCP Snooping功能,问题得到解决。测试验证笔记本成功获取VLAN 80地址,交换机MAC表显示正常,网络恢复稳定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值