交换机配置dhcp snooping 端口安全

最新推荐文章于 2025-04-05 17:56:14 发布
最新推荐文章于 2025-04-05 17:56:14 发布
阅读量696 收藏 5
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_78575222/article/details/131448858
版权
文章介绍了如何在交换机上部署DHCP服务,包括创建IP地址池、配置端口和VLAN。同时,文章通过实验展示了DHCPServer仿冒者攻击,以及如何在SW1上配置DHCP嗅探以增强网络安全,特别是启用DHCPsnooping信任接口来防止未授权的DHCP服务器。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Snooping:嗅探 .窥视

Relay:中继

Client:客户

hardware:硬件

address:地址

trusted:信任

untrsted:不信任

check:检查

DHCP snooping:DHCP 嗅探

sticky:粘性

一 . 交换机部署DHCP

测试环境:

 配置DHCP服务器:

[SW1-dhcp]vlan batch 10 20
Info: This operation may take a few seconds. Please wait for a moment...done.
[SW1-dhcp]dhcp enable
Info: The operation may take a few seconds. Please wait for a moment.done.
[SW1-dhcp]port-g    
[SW1-dhcp]port-group g    
[SW1-dhcp]port-group group-member g 0/0/1 g 0/0/2
[SW1-dhcp-port-group]port l    
[SW1-dhcp-port-group]port link-t    
[SW1-dhcp-port-group]port link-type t    
[SW1-dhcp-port-group]port link-type trunk 
[SW1-dhcp-GigabitEthernet0/0/1]port link-type trunk 
[SW1-dhcp-GigabitEthernet0/0/2]port link-type trunk 
[SW1-dhcp-port-group]p t a v a
[SW1-dhcp-GigabitEthernet0/0/1]p t a v a
[SW1-dhcp-GigabitEthernet0/0/2]p t a v a
[SW1-dhcp-port-group]q
[SW1-dhcp]ip pool vlan 10
                       ^
Error:Too many parameters found at '^' position.
[SW1-dhcp]ip pool vlan10
Info:It's successful to create an IP address pool.
[SW1-dhcp-ip-pool-vlan10]network 192.168.10.0 mask 24
[SW1-dhcp-ip-pool-vlan10]gateway-    
[SW1-dhcp-ip-pool-vlan10]gateway-list 192.168.10.254
[SW1-dhcp-ip-pool-vlan10]dns    
[SW1-dhcp-ip-pool-vlan10]dns-list 8.8.8.8
[SW1-dhcp-ip-pool-vlan10]ip add    
[SW1-dhcp-ip-pool-vlan10]ip pool vlan20
Info:It's successful to create an IP address pool.
[SW1-dhcp-ip-pool-vlan20]net    
[SW1-dhcp-ip-pool-vlan20]network 192.168.20.0 mask 24
[SW1-dhcp-ip-pool-vlan20]g    
[SW1-dhcp-ip-pool-vlan20]gateway-list 192.168.20.254
[SW1-dhcp-ip-pool-vlan20]d    
[SW1-dhcp-ip-pool-vlan20]dns-list 8.8.8.8
[SW1-dhcp-ip-pool-vlan20]q
[SW1-dhcp]int v10
[SW1-dhcp-Vlanif10]ip add    
[SW1-dhcp-Vlanif10]ip address 192.168.10.254 24
[SW1-dhcp-Vlanif10]d    
[SW1-dhcp-Vlanif10]dhcp s    
[SW1-dhcp-Vlanif10]dhcp sel    
[SW1-dhcp-Vlanif10]dhcp select g    
[SW1-dhcp-Vlanif10]dhcp select global 
[SW1-dhcp-Vlanif10]int v20
[SW1-dhcp-Vlanif20]ip a    
[SW1-dhcp-Vlanif20]ip address 192.168.20.254 24
[SW1-dhcp-Vlanif20]dhcp sel    
[SW1-dhcp-Vlanif20]dhcp select  g    
[SW1-dhcp-Vlanif20]dhcp select  global 
[SW1-dhcp-Vlanif20]
 

<Sw2>system-view 
Enter system view, return user view with Ctrl+Z.
[Sw2]vlan b    
[Sw2]vlan batch 10 20
Info: This operation may take a few seconds. Please wait for a moment...done.
[Sw2]int g 0/0/1
[Sw2-GigabitEthernet0/0/1]port l    
[Sw2-GigabitEthernet0/0/1]port link-t    
[Sw2-GigabitEthernet0/0/1]port link-type t    
[Sw2-GigabitEthernet0/0/1]port link-type trunk 
[Sw2-GigabitEthernet0/0/1]port t    
[Sw2-GigabitEthernet0/0/1]port trunk allow-pass all
                                                ^
Error: Unrecognized command found at '^' position.
[Sw2-GigabitEthernet0/0/1]q
[Sw2]port-g    
[Sw2]port-group g    
[Sw2]port-group group-member  g0/0/2 g0/0/3
[Sw2-port-group]p l a
[Sw2-GigabitEthernet0/0/2]p l a
[Sw2-GigabitEthernet0/0/3]p l a
[Sw2-port-group]p d v 10
[Sw2-GigabitEthernet0/0/2]p d v 10
[Sw2-GigabitEthernet0/0/3]p d v 10
 

<SW3>system-view 
Enter system view, return user view with Ctrl+Z.
[SW3]vlan b    
[SW3]vlan batch 10 20
Info: This operation may take a few seconds. Please wait for a moment...done.
[SW3]int g0/0/1
[SW3-GigabitEthernet0/0/1]p l t
[SW3-GigabitEthernet0/0/1]p t a v a
[SW3-GigabitEthernet0/0/1]q
[SW3]port-g    
[SW3]port-group g    
[SW3]port-group group-member g0/0/2 g0/0/3
[SW3-port-group]p l a
[SW3-GigabitEthernet0/0/2]p l a
[SW3-GigabitEthernet0/0/3]p l a
[SW3-port-group]p d v 20
[SW3-GigabitEthernet0/0/2]p d v 20
[SW3-GigabitEthernet0/0/3]p d v 20
[SW3-port-group]
 

验证:

 

二 . DHCP Server仿冒者攻击实验

 

配置仿冒DHCP服务器

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sy SW3-fm
[SW3-fm]dhcp enable
Info: The operation may take a few seconds. Please wait for a moment.done.
[SW3-fm]ip pool v 1
                  ^
Error:Too many parameters found at '^' position.
[SW3-fm]ip pool v1
Info:It's successful to create an IP address pool.
[SW3-fm-ip-pool-v1]network 192.168.10.0 mask 24
[SW3-fm-ip-pool-v1]gateway-l    
[SW3-fm-ip-pool-v1]gateway-list 192.168.10.254
[SW3-fm-ip-pool-v1]dns-l    
[SW3-fm-ip-pool-v1]dns-list 9.9.9.9
[SW3-fm-ip-pool-v1]q
 

配置合法DHCP服务器

[SW2-hf]sy SW2-dhcp
[SW2-dhcp]dhcp enable
Info: The operation may take a few seconds. Please wait for a moment.done.
[SW2-dhcp]ip pool v1
Info:It's successful to create an IP address pool.
[SW2-dhcp-ip-pool-v1]network 192.168.15.0 mask 24
[SW2-dhcp-ip-pool-v1]gat    
[SW2-dhcp-ip-pool-v1]gateway-list 192.168.15.254
[SW2-dhcp-ip-pool-v1]dns-    
[SW2-dhcp-ip-pool-v1]dns-list 8.8.8.8
[SW2-dhcp-ip-pool-v1]q
[SW2-dhcp]int v1
[SW2-dhcp-Vlanif1]ip add    
[SW2-dhcp-Vlanif1]ip address 192.168.15.254 24
[SW2-dhcp-Vlanif1]dhcp sel    
[SW2-dhcp-Vlanif1]dhcp select g    
[SW2-dhcp-Vlanif1]dhcp select global 
[SW2-dhcp-Vlanif1]

验证:

 

 在SW1上配置DHCP Snooping

<Huawei>u t m
Info: Current terminal monitor is off.
<Huawei>sy    
<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sy Sw1
[Sw1]dhcp enable
Info: The operation may take a few seconds. Please wait for a moment.done.
[Sw1]dhcp snoo    
[Sw1]dhcp snooping enable
[Sw1]port-g    
[Sw1]port-group g    
[Sw1]port-group group-member g0/0/1 g0/0/2
[Sw1-port-group]dhcp sn    
[Sw1-port-group]dhcp snooping e    
[Sw1-port-group]dhcp snooping enable 
[Sw1-GigabitEthernet0/0/1]dhcp snooping enable 
[Sw1-GigabitEthernet0/0/2]dhcp snooping enable 
[Sw1-port-group]q
[Sw1]int g0/0/4
[Sw1-GigabitEthernet0/0/4]dhcp sn    
[Sw1-GigabitEthernet0/0/4]dhcp snooping ?
  alarm            Alarm 
  check            Check 
  disable          Disable
  enable           Enable 
  max-user-number  Max user number
  sticky-mac       DHCP snooping sticky mac 
  trusted          Trusted interface 

[Sw1-GigabitEthernet0/0/4]dhcp snooping tr    
[Sw1-GigabitEthernet0/0/4]dhcp snooping trusted 
[Sw1-GigabitEthernet0/0/4]

验证:

 

久拥不315
关注
锐捷交换机——DHCP Snooping
君逍遥o
10-09 2198
接入交换机为S2652G交换机,核心交换机是S5750,S2652G交换机下联PC使用动态DHCP获取IP地址,为了防止内网有用户接入非法dhcp服务器,如自带的无线小路由器等,导致正常用户获取到错误的地址而上不了网或地址冲突,要实施DHCP SnoopingDHCP监听)功能。
配置DHCP Snooping
weixin_46041124的博客
02-23 4784
而每个交换机端口推荐只连接一台PC,否则如果交换机端口下串接一个Hub,在Hub上连接了若干PC的话,那么如果凑巧该Hub下发生DHCP欺骗,由于欺骗报文都在Hub端口间直接转发了,没有受到接入层交换机DHCP Snooping功能的控制,这样的欺骗就无法防止了。2、在接入交换机SwitchA上全局使能DHCP Snooping,然后在连接PC的接口使能DHCP Snooping,同时将上联核心交换机的接口配置为信任接口(信任接口正常接收DHCP服务器响应的DHCP报文。
交换机开启DHCP Snooping
ITinfra_夏洛
07-06 835
sys dhcp enable dhcp snooping enable interface range g0/0/51 to g0/0/52 dhcp snooping enable dhcp snooping trusted quit interface range g0/0/1 to g0/0/48 dhcp snooping enable quit quit save
DHCP Snooping理论笔记(超详细)
最新发布
Fanmeang的博客
04-05 1331
DHCP Snooping概述前面我们学习了DHCP技术,如何通过服务器来动态获取IP地址,但这种技术也有安全风险所以我们来介绍一下预防DHCP安全风险的技术DHCP SnoopingDHCP Snooping概述DHCP Snooping是一种DHCP安全技术,通过设置非信任接口,能够有效防止网络中仿冒DHCP服务器的攻击,保证客户端从合法的服务器获取IP地址。
Cisco交换机DHCP Snooping功能
cnbird's blog
03-31 3521
Cisco交换机DHCP Snooping功能一、采用DHCP服务的常见问题                        架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了            网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题            常见的有:            ·DHCP Server的冒充 
以太网交换安全DHCP Snooping
fanshizhiren的博客
10-29 2477
总的来说,DHCP Snooping是提升网络DHCP服务安全性的重要技术手段之一。它通过监控和管理DHCP交互过程,确保只有经过验证的DHCP服务器才能为客户端分配IP地址,从而有效防止了多种针对DHCP的攻击行为。
dhcp snooping华为_华为交换机dhcp snooping 功能配置
weixin_34320235的博客
01-26 2934
华为核心交换机:S5720S-36C-EI-AC 管理IP:172.30.5.1华为桌面交换机:S5700S-52P-LI-AC 管理IP:172.30.5.10核心交换机24聚合与桌面交换机47,48 聚合口互联。如下图所示:核心交换机配置:(华为交换机dhcp server配置:DHCP配置)接入层交换机配置:[SW_ACC_5.10]dhcp enable[SW_ACC_5.10]dhcp ...
企业网络项目调试系列-05核心网安全 DHCP SERVER与DHCP SNOOPING配置
king01299的博客
09-16 1786
企业网络 DHCP SERVER DHCP SNOOPING
华为交换机配置dhcp snooping
12-13
华为交换机配置DHCP Snooping的步骤如下: 1. **进入系统视图**: ``` system-view ``` 2. **启用DHCP Snooping功能**: ...通过以上步骤,您可以在华为交换机配置DHCP Snooping,以确保网络安全性和可靠性。
华为eNSP:配置DHCP Snooping
nankon_的博客
11-04 1778
DHCP服务器。
交换高级特性 —— DHCP snoopingDHCP欺骗泛红攻击)
qq_62311779的博客
08-17 4594
一、DHCP欺骗泛洪攻击 (1)钓鱼网站简介: (2)DNS的作用: (3)DHCP中继技术简介: (-1)核心交换机DHCP配置命令: (4)dhcp欺骗详解: 第一步:pc2作为恶意攻击者会耗尽DHCP Sever的地址池,让DHCP Server不能给p c1分配地址池 第二步:pc2充当DNS和DHCP欺骗pc1 (4-1)图解: 二、防御——DHCP snooping (1)开启DHCP SNOOPING之后的效果: (2)配置案列.........
实训二十八:交换机 DHCP Snooping配置
weixin_60462069的博客
10-03 7164
1、在 DHCP网络环境中,管理员经常碰到的一个问题就是一些用户私自修改使用静态的 ip 地址,而不是使用动态获取 Ip 地址,而使用静态IP 又会导致一些使用动态获取 IP 的用 户无法正常使用网络,从而使网络应用环境变得复杂,管理员管理网络的难度加大,而 DHCP动态绑定是指设备在 DHCP 的过程中通过记录合法用户的 ip 获取信息,并进行相关记录,从 而进行相关的安全处理,从而引入 DHCPsnooping 地址绑定功能。配置完成之后,发现私设。功能:开启 DHCP Snooping 功能。
华为配置 dhcp snooping
junlan的博客
04-16 3699
注意:如果是在接口下开启DHCP Snooping功能,必须要在所有接口都开启才能实现效果,可以理解为在接口调用dhcp snooping功能。//全局单独开启IPv4的snooping功能,这样将能够有效的节约设备的CPU利用率。//使能接口GE0/0/1下的DHCP Snooping功能,//接口视图下将GE0/0/1接口状态设置为信任。//接口下还需再启用下snooping功能。1、开启snooping功能前必须先全局开启dhcp的功能。视图下将GE0/0/1接口状态设置为信任。
锐捷交换机 DHCP snooping
weixin_55444377的博客
12-07 2549
使用ARP-check功能校验所有ARP报文的正确性。如果合法用户获取IP地址后试图进行ARP欺骗,或者是非法用户私自配置静态的IP地址,他们的ARP校验都将失败,这样的用户将无法使用网络。通过IP Source guard功能将DHCP Snooping表的每个终端的IP&MAC信息写入交换机的硬件表项(类似端口安全的绑定);DHCP Snooping 阻止非法 DHCP 服务器为局域网用户提供 IP 地址。DHCP Snooping 阻止非法 DHCP 服务器为局域网用户提供 IP 地址。
DHCPDHCP Snooping的基本概念与配置
weixin_72194028的博客
12-13 3249
DHCPDHCP Snooping的基本概念与配置
11.NP交换_DHCPDHCP SNOOPING
分享学习网络的点点滴滴
07-21 880
DHCPDHCP SNOOPING一、DHCP1、DHCP 报文2、DHCP中继3、DHCP续租4、DHCP option字段选项二、DHCP SNOOPING1、具体功能与应用本章问答环节 一、DHCP 使用UDP协议,67和68 局域网协议,服务器和客户端需在同一个广播域下,如果不在同一个网段,则需要DHCP中继。   1、DHCP 报文 DHCP discover:广播消息,客户端向服务器请求网路参数(IP、掩码、网关、dns); offer:单播消息,服务器提供给客户端网络配置消息
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值