华为企业交换机,用DHCP SNOOPING防止私接小路由实验

最新推荐文章于 2024-03-07 10:24:48 发布
最新推荐文章于 2024-03-07 10:24:48 发布
阅读量1.1w 收藏 57
点赞数 8
分类专栏: 【华为华三】
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NeverGUM/article/details/97899850
版权

导语:

在企业中,数据的安全一向是重要的,为了防止客户端私接小路由影响企业内部网络,华为企业交换机有这样的命令

Dhcp snooping

思路:

合法的DHCP客户端使用,dhcp snooping trusted 

不合法的DHCP客户端使用,dhcp snooping enable

实验:

我们假设这样的一个场景,在企业网络架构中。核心交换机(CORE)下接了接入交换机(ACCESS),然后有非法客户端DHCP交换机(UNTRUST)接了接入交换机(ACCESS)的G0/0/24端口,拓补图如下。

实验思路:

CORE:创建VLAN 10,VLAN 20,分别配置VLAN10 ,VLAN 20的网段,为192.168.10.254,192.168.20.254,在G0/0/1端口做trunk,透传VLAN 10 ,20.

ACCESS:创建vlan10,20,使得PC1和PC2分别属于VLAN 10 ,20 ,并在G0/0/3,G0/0/24端口做trunk,透传VLAN10 ,20

UNTRUST:创建vlan10 ,20,创建VLANIF地址池,vlan10,192.168.100.254,vlan20 192.168.200.254,在G0/0/24端口下透传VLAN10,vlan20

实验目的:

当同时存在两个DHCP客户端的时候,且地址池都是VLAN10或VLAN20的地址池,那么PC获取地址的时候默认获取哪个地址池的呢?显然是可以获取到仿冒客户端的IP地址的,这也是我们不希望看到的。

我们尝试用dhcp snooping enbale等命令,验证被trust的端口才能合法获取IP地址,untrust端口获取不到它的地址。

本次实验上最终实现的就是,当ACCESS,G0/0/3端口是,dhcp snooping trusted 的时候,G0/0/24端口是dhcp snooping enable 的时候,PC1准确的获取到了CORE核心DHCP客户端的地址,而不是非法的仿冒客户端地址。

下面请看详细代:

ACCESS:

sysname ACCESS
#
undo info-center enable
#
vlan batch 10 20
#

dhcp enable
#
dhcp snooping enable
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
 dhcp snooping enable
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/3
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 10 20
 dhcp snooping trusted
#
interface GigabitEthernet0/0/24
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 10 20
 dhcp snooping enable
#

CORE:

#
sysname CORE
#
undo info-center enable
#
vlan batch 10 20
#
dhcp enable
#
interface Vlanif10
 ip address 192.168.10.254 255.255.255.0
 dhcp select interface
#
interface Vlanif20
 ip address 192.168.20.254 255.255.255.0
 dhcp select interface
#
interface GigabitEthernet0/0/1
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 10 20
#


UNTRUST:

#
sysname UNTRUST
#
undo info-center enable
#
vlan batch 10 20
#
#
dhcp enable
#
interface Vlanif10
 ip address 192.168.100.254 255.255.255.0
 dhcp select interface
#
interface Vlanif20
 ip address 192.168.200.254 255.255.255.0
 dhcp select interface

#
interface GigabitEthernet0/0/24
 port link-type trunk
 undo port trunk allow-pass vlan 1
 port trunk allow-pass vlan 10 20
#

我们注意到,在CORE和UNTRUNST的DHCP客户端同时存在VLAN10,20的地址池时,

CORE交换机上面的vlan10,vlan20,网段分别是192.168.10.254,192.168.20.254,

untrust交换机上面的VLAN10,VLAN20的网关分别是192.168.100.254,192.168.200.254.

我们做实验时,默认不开启DHCPsnoop ing的时候,同样是VLAN10,PC端获取到的居然时仿冒客户端的IP地址,这不是我们希望看到的,我们希望PC能从核心客户端获取地址,

我们将上联核心交换机的端口改为dhcp snooping trust ,其他所有端口都开启dhcp snooping,然后PC再也不会获取到仿冒客户段的IP地址,是不是很神奇。

TIP:值得注意的是,在接入交换机上,我们应该将所有的端口都使能dhcp snooping enable,而不是全局使能

我们可以用这样的命令批量使得全部端口变成dhcp snooping enable,然后某个信任端口单独修改,去能dhcp snooping ,然后修改端口为trust.

#port-grop A //创建一个名”A”的组

#portgroup meber G0/0/1 to G0/0/24 //组成员是,G0/0/1至G0/0/24

#dhcp snooping enable //使能dhcp snooping

小知识:

快速在CMD只获取和释放IP地址的命令

ipconfig /release 释放

ipconfig /renew获取

 

 

疏散一小生
关注
  • 8
    点赞
  • 57
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
H3C 2种型号交换机防止非法DHPCP接入配置
05-05
H3C 交换 2种型号 DHCPSnOOPING设置.H3C有2种类型的交换机配置方法不同,通过以上文档,可以轻松解决非法DHCP问题。此文档适用于核心交换机和可网管型二层交换机
华为交换机DHCP snooping
seaship的博客
01-11 1万+
配置思路 1.使能DHCP Snooping功能。 2.配置接口的信任状态,以保证客户端从合法的服务器获取IP地址。 3.使能ARP与DHCPSnooping的联动功能,保证DHCP用户在异常下线时实时更新绑定表。 4.使能根据DHCP Snooping绑定表生成接口的静态MAC表项功能,以防止DHCP用户攻击。 5.使能对DHCP报文进行绑定表匹配检查的功能,防止仿冒DHCP报文攻击。 6.配...
DHCP 解决单位网络私接路由器的办法
90挂墙_运程员
10-16 5985
单位有多台华为交换机,核心交换机s9300系列,各楼栋交换机S5700。其中设置2台DHCP服务器一主一备,配置Dhcp-relay。 最近发现有人在办公室误将网线插入办公室的家用路由器lan口,并且还开启了家用路由dhcp,造成该网段电脑收到的都是非法的路由dhcp信息,无法正常上网,对办公影响很大。 经查找资料,发现启用交换机DHCP Snooping功能,直接屏蔽掉那个非法路由器就可以了。 dhcp snooping功能开启后,默认所有端口为非信任口,即忽略掉所有端口发送的dhcp报文。为了能正
华为配置DHCP Snooping防止DHCP Server仿冒者攻击示例
最新发布
专研计算机网络,数据通信,网络安全,系统集成
03-07 1020
在一次DHCP客户端动态获取IP地址的过程中,DHCP Snooping会对客户端和服务器之间的DHCP报文进行分析和过滤。通过合理的配置实现对非法服务器的过滤,防止用户端获取到非法DHCP服务器提供的地址而无法上网。网络中有个别终端用的是Windows Server 2003或者2008系统,默认开启了DHCP分配IP的服务。一些接入层的端口连接有开启了DHCP分配IP服务的无线路由器。我们推荐在用户接入层交换机上面部署DHCP Snooping功能,越靠近PC端口控制的越准确。
华为S系列园区交换机快速配置.pdf
10-28
 在小型园区中,S2700&S3700;通常部署在网络的接入层,S5700&S6700;通常部署 在网络的核心,出口路由器一般选用AR系列路由器。  接入交换机与核心交换机通过Eth-Trunk组网保证可靠性。  每个部门业务划分到一个VLAN中,部门间的业务在CORE上通过VLANIF三层互通。  核心交换机作为DHCP Server,为园区用户分配IP地址 。  接入交换机配置DHCP Snooping功能,防止内网用户私接路由器分配IP地址; 同时配置IPSG功能,防止内网用户私自更改IP地址。
华为 ME60 V800R010C10SPC500 配置指南 - DHCP Snooping配置
04-04
介绍DHCP Snooping配置,为用户提供更安全的网络环境,更稳定的网络服务。
华为S5700 防止私接路由
qq_33876106的博客
05-17 3815
华为S5700 防止私接路由器 使用DHCP Snooping功能 使用全局DHCP Snooping功能。 [Switch] dhcp enable [Switch] dhcp snooping enable 使能用户侧接口的DHCP Snooping功能。 [Switch] interface gigabitethernet 0/0/1 [Switch-GigabitEthernet0/...
华为eNSP配置DHCP Snooping防欺骗
嘻嘻哥哥~的博客
02-19 4017
DHCP Snooping防欺骗 R1真DHCP服务器配置: <Huawei>system-view #进入系统视图 Enter system view, return user view with Ctrl+Z. [Huawei]sysname R1 #更改设备名称为R1 [R1]dhcp enable
华为DHCP Snooping原理及其实验配置
爱学习的JackYang的博客
07-30 1万+
DHCP Snooping原理 DHCPSnooping是一种DHCP安全特性,通过截获DHCPClient和DHCPRelay之间的DHCP报文并进行分析处理,可以过滤不信任的DHCP报文并建立和维护一个DHCPSnooping绑定表(untrust)。 DHCPSnooping通过对这个绑定表的维护,建立一道在DHCPClient和DHCPServer之间的防火墙 DHCPSnooping可以解决设备应用DHCP时遇到的DHCPDOS(DenialofService)攻击...
华为)网工必备实验笔记:dhcp-snooping实验配置
2301_76170756的博客
12-26 1086
网工必备实验笔记:dhcp-snooping实验配置
华为DHCP Snooping配置
xw19979790869的博客
11-22 274
DHCP SnoopingDHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。目前DHCP协议(RFC2131)在应用的过程中遇到很多安全方面的问题,网络中存在一些针对DHCP的攻击,如DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。
华为5700_dhcp配置实例
03-29
华为三层交换机的 5700_dhcp配置实例华为三层交换机DHCP配置教程,说明很详细,易懂!易学!易会!
华为S系列交换机开局一本通
01-11
华为S系列交换机从登录开始详细介绍常用的配置操作,例如:VLAN配置,DHCP配置,DHCP Snooping(网关防假冒)配置,IPSG(IP+MAC 绑定)配置,POE 配置,ACL配置,QoS基础配置,SNMP配置,VRRP 配置,链路聚合配置,盒式交换机堆叠配置及注意事项,静态路由配置,OSPF 基础配置.
华为DHCP实验
08-15
华为DHCP实验,三种DHCP,附有配置。 接口下+本地地址池+中继+DHCP Snooping
DHCP Snooping解决DHCP服务器问题.doc
01-07
网络的普及与网络技术的成熟,现在的人越离不开网络,个人的手、电脑、智能家居设备等都需要网络,我们的这些用网的设备无论是在在访问Internet网,还是局域网内部通信都离开不了IP地址的支持,IP地址就是这些硬件在网络上互相交互信息时用来区分彼此的"名字",无论你是使用IPv6还是IPv4,都需要给你的网络设备分配一个对应的地址。
ensp DHCP snooping
07-08
实验拓扑
华为/华三交换机用lldb命令快速查看邻居交换机
热门推荐
NeverGUM的博客
09-17 3万+
企业核心交换机上级联了多个交换机时,我们想查看哪些端口接了哪些交换机,可以使用快捷命令,display lldp neighbor brief 我们通常需要对众多网络设备进行统一命名,只有统一命名以后,我们使用这条命令才有意义。 华为交换机: [CORE]lldp enable //华为交换机都要手动开启这个服务 Info: Global LLDP is already enabled....
华为华三交换机通过ip address dhcp-alloc命令使接口动态获取IP地址
NeverGUM的博客
01-08 2万+
前言 命令功能 ip address dhcp-alloc命令用来开启接口下的DHCP Client功能。 undo ip address dhcp-alloc命令用来关闭接口下的DHCP Client功能。 缺省情况下,接口下DHCP Client功能处于关闭状态。 应用场景 为了使Switch的接口通过DHCP协议动态获取IP地址,可以在接口上配置DHCP Client功能。DHC...
使用3CDaemon软件搭建FTP来上传/下载交换机文件文件
NeverGUM的博客
09-27 2万+
前景提示:网络工程师会经常对交换机或者路由器的配置文件进行升级,或者备份,亦或者是上传license许可等,都需要用到FTP(文件传输服务),而3CDaemon就是一款不错的软件,可以让你的主机变成一个FTP客户端,然后通过在交换机上面访问客户端的手段,从而可以相互上传下载文件等。 3CDaemon 3CDaemon是一个简易服务器工具,含TFTP服务器、FTP服务器、Syslog服务器及TF...
华为交换机dhcp-snooping
03-16
华为交换机dhcp-snooping是一种网络安全功能,它可以防止未经授权的DHCP服务器在网络中提供服务,从而保护网络的安全性。DHCP Snooping会对网络中的DHCP消息进行监控和过滤,只允许授权的DHCP服务器提供服务,防止恶意的DHCP服务器攻击网络。同时,DHCP Snooping还可以记录DHCP消息的源地址、目的地址、MAC地址等信息,方便网络管理员进行网络故障排查和安全审计。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值