ip dhcp snooping配置

最新推荐文章于 2024-03-07 10:24:48 发布
最新推荐文章于 2024-03-07 10:24:48 发布
阅读量1.2w 收藏 21
点赞数 2
分类专栏: Cisco 思科
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blakegao/article/details/12242691
版权
一、DHCP snooping 技术介绍
 
DHCP监听(DHCP Snooping)是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性,交换机能够拦截第二层VLAN域内的所有DHCP报文。
 
通过开启DHCP监听特性,交换机限制用户端口(非信任端口)只能够发送DHCP请求,丢弃来自用户端口的所有其它DHCP报文,例如DHCP Offer报文等。而且,并非所有来自用户端口的DHCP请求都被允许通过,交换机还会比较DHCP 请求报文的(报文头里的)源MAC地址和(报文内容里的)DHCP客户机的硬件地址(即CHADDR字段),只有这两者相同的请求报文才会被转发,否则将被丢弃。这样就防止了DHCP耗竭攻击。信任端口可以接收所有的DHCP报文。通过只将交换机连接到合法DHCP服务器的端口设置为信任端口,其他端口设置为非信任端口,就可以防止用户伪造DHCP服务器来攻击网络。DHCP监听特性还可以对端口的DHCP报文进行限速。通过在每个非信任端口下进行限速,将可以阻止合法DHCP请求报文的广播攻击。DHCP监听还有一个非常重要的作用就是建立一张DHCP监听绑定表(DHCP Snooping Binding)。一旦一个连接在非信任端口的客户端获得一个合法的DHCP Offer,交换机就会自动在DHCP监听绑定表里添加一个绑定条目,内容包括了该非信任端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信息。
 
二、DHCP snooping 配置
 
Switch(config)#ip dhcp snooping // 打开DHCP Snooping功能
Switch(config)#ip dhcp snooping vlan 10 // 设置DHCP Snooping功能将作用于哪些 VLAN
Switch(config)#ip dhcp snooping verify mac-adress                 
 
//检测非信任端口收到的DHCP请求报文的源MAC和CHADDR字段是否相同,以防止DHCP耗竭攻击,该功能默认即为开启

Switch(config-if)#ip dhcp snooping trust 
 
// 配置接口为DHCP监听特性的信任接口,所有接口默认为非信任接口

Switch(config-if)#ip dhcp snooping limit rate 15 
 
// 限制非信任端口的DHCP报文速率为每秒15个包(默认即为每秒15个包)如果不配该语句,则show ip dhcp snooping的结果里将不列出没有该语句的端口,可选速率范围为1-2048
 
建议:在配置了端口的DHCP报文限速之后,最好配置以下两条命令
Switch(config)#errdisable recovery cause dhcp-rate-limit                 
// 使由于DHCP报文限速原因而被禁用的端口能自动从err-disable状态恢复

Switch(config)#errdisable recovery interval 30
// 设置恢复时间;端口被置为err-disable状态后,经过30秒时间才能恢复
 
Switch(config)#ip dhcp snooping information option                 
// 设置交换机是否为非信任端口收到的DHCP报文插入Option 82,默认即为开启状态
Switch(config)#ip dhcp snooping information option allow-untrusted                
// 设置汇聚交换机将接收从非信任端口收到的接入交换机发来的带有选项82的DHCP报文

Switch#ip dhcp snooping binding 000f.1fc5.1008 vlan 10 192.168.10.131 interface fa0/2 expiry 692000                  // 特权模式命令;手工添加一条DHCP监听绑定条目;expiry为时间值,即为监听绑定表中的lease(租期)
Switch(config)#ip dhcp snooping database
flash:dhcp_snooping.db                 
// 将DHCP监听绑定表保存在flash中,文件名为 dhcp_snooping.db

Switch(config)#ip dhcp snooping database
tftp://192.168.2.5/Switch/dhcp_snooping.db 
//将DHCP监听绑定表保存到tftp服务器;192.168.2.5为tftp服务器地址,必须事先确定可达。URL中的Switch是tftp服务器下一个文件夹;保存后的文件名为dhcp_snooping.db,当更改保存位置后会立即执行“写”操作。

Switch(config)#ip dhcp snooping database write-delay 30
                
// 指DHCP监听绑定表发生更新后,等待30秒,再写入文件,默认为300秒;可选范围为15-86400秒
Switch(config)#ip dhcp snooping database timeout 60 
// 指DHCP监听绑定表尝试写入操作失败后,重新尝试写入操作,直到60秒后停止尝试。默认为300秒;可选范围为0-86400秒

说明:实际上当DHCP监听绑定表发生改变时会先等待write-delay的时间,然后执行写入操作,如果写入操作失败(比如tftp服务器不可达),接着就等待timeout的时间,在此时间段内不断重试。在timeout时间过后,停止写入尝试。但由于监听绑定表已经发生了改变,因此重新开始等待write-delay时间执行写入操作……不断循环,直到写入操作成功。
Switch#renew ip dhcp snooping database flash:dhcp_snooping.db         
 
/ 特权级命令;立即从保存好的数据库文件中读取DHCP监听绑定表。



blakegao
关注
  • 2
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ip dhcp snooping配置不当造成PC不能正常获取IP
01-05
ipdhcpsnooping配置不当造成PC不能正常获取IP
管理论文:企业DHCP服务器配置与管理.doc
06-09
2 配置DHCP服务器 在Router路由器上面配置DHCP服务: 2.1 开启DHCP 功能 Router(config)#service dhcp 2.2 配置DHCP 地址池 Router(config)#ip dhcp pool vlan1 //地址池名为vlan1 Router(dhcp-config)#network 192...
DHCP + DHCP snooping
weixin_51045259的博客
01-22 445
DHCP DHCP协议需求背景 减少错误 通过配置DHCP,把手工配置IP地址所导致的错误减少到最低程度,例如已分配的IP地址再次分配给另一设备所造成的地址冲突等将大大减少。 减少网络管理 TCP/IP配置是集中化和自动完成的,不需要网络管理员手工配置。网络管理员能集中定义全局和特定子网的TCP/IP配置信息。 使用DHCP选项可以自动给客户机分配全部范围的附加TCP/IP配置值。客户机配置的地址变化必须经常更新,比如远程访问客户机经常到处移动,这样便于它在新的地点重新启动时,高效而又自动地进行配置。 同
华为配置DHCP Snooping防止DHCP Server仿冒者攻击示例
专研计算机网络,数据通信,网络安全,系统集成
03-07 1075
在一次DHCP客户端动态获取IP地址的过程中,DHCP Snooping会对客户端和服务器之间的DHCP报文进行分析和过滤。通过合理的配置实现对非法服务器的过滤,防止用户端获取到非法DHCP服务器提供的地址而无法上网。网络中有个别终端用的是Windows Server 2003或者2008系统,默认开启了DHCP分配IP的服务。一些接入层的端口连接有开启了DHCP分配IP服务的无线路由器。我们推荐在用户接入层交换机上面部署DHCP Snooping功能,越靠近PC端口控制的越准确。
DHCP Snooping功能介绍与实验效果呈现
m0_62621003的博客
04-03 2482
DHCP嗅探,保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。DHCP Snooping信任功能可以控制DHCP服务器应答报文的来源,以防止网络中可能存在的伪造或非法DHCP服务器为其他主机分配IP地址及其他配置信息。dhcp snooping enable #全局开启dhcp snooping功能,开启之后,默认设备所有接口处于非信任接口。正常转发接收到的DHCP应答(offer)报文,转发DHCP请求。
DHCP的防御机制——DHCP Snooping(DHCP监听)
qq_40741808的博客
05-18 5578
这里写目录标题DHCP SnoopingDHCP监听)简介好处DHCP Snooping原理描述信任端口功能DHCP监听表DHCP 攻击及其防范DHCP Server仿冒者攻击攻击原理解决方法:仿冒DHCP报文攻击:攻击原理:解决方法:DHCP Server服务拒绝攻击:攻击原理:解决方法:配置DHCP Snooping的攻击防范功能:DHCP Snooping支持的Option82功能:概述:实现: DHCP SnoopingDHCP监听)简介 DHCP SnoopingDHCP(Dynamic H
DHCP Snooping + Dynamic ARP Inspection(DAI) 配置
weixin_33774615的博客
09-20 210
在cisco设备中的配置 在cisco网络环境下,boot request在经过了启用DHCP SNOOPING特性的设备上时,会在DHCP数据包中插入option 82的选项(具体见RFC3046) 这个时候,boot request中数据包中的gateway ip address:为全0,所以一旦dhcp relay 设备检测到这样的数据包,就会丢弃。 虽然dhcp...
DHCP DHCP Snooping
weixin_55932038的博客
05-08 991
因为DHCP客户端发送的DHCP Discover报文是以广播形式发送,无论是合法的DHCP 服务器,还是非法的DHCP Server都可以接收到DHCP Discover报文,如果此时非法的DHCP仿冒服务器,回应给DHCP 客户端,恶意的仿冒信息(如:错误的IP、错误的网关、错误的DNS),DHCP 客户端无法分辨这些信息,所以最终导致DHCP客户端无法上网和信息泄露。-DHCP SnoopingDHCP 客户端和DHCP 服务器之间建立一道虚拟防火墙,以抵御网络中针对DHCP的各种攻击。
DHCP Snooping原理和配置
热门推荐
qq_50929489的博客
09-21 1万+
DHCP Snooping原理和配置
交换高级特性 —— DHCP snoopingDHCP欺骗泛红攻击)
qq_62311779的博客
08-17 3773
一、DHCP欺骗泛洪攻击 (1)钓鱼网站简介: (2)DNS的作用: (3)DHCP中继技术简介: (-1)核心交换机DHCP配置命令: (4)dhcp欺骗详解: 第一步:pc2作为恶意攻击者会耗尽DHCP Sever的地址池,让DHCP Server不能给p c1分配地址池 第二步:pc2充当DNS和DHCP欺骗pc1 (4-1)图解: 二、防御——DHCP snooping (1)开启DHCP SNOOPING之后的效果: (2)配置案列.........
DHCP Snooping配置以及介绍
GUOJUNWEI11的博客
11-22 746
DHCP SnoopingDHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
DHCP Snooping技术
刘俊辉个人博客
09-05 481
DHCP SnoopingDHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。RFC 3046定义了DHCP Relay Agent Information Option(Option 82),该选项记录了DHCP Client的位置信息。
神州数码交换机DHCP服务器的配置.pdf
06-26
实验三十五、交换机 DHCP 服务器的配置 一、 实验目的 1、 ... VLAN IP 端口成员 100 192.168.100.1/24 1~8 200 192.168.200.1/24 9~16 配置两个地址池: PoolA (network 192.168.100.0) PoolB (network 192.168.20
H3C交换机技术专题之DHCP Server篇.chm
01-31
目录: DHCP Server问题排查 DHCP Server 问题定位排查手册 DHCP Server 问题FAQ ...S5024PV2-EI 开启dhcp-snooping终端无法获取地址经验案例 ADDC方案中 S6800透传DHCP报文异常问题经验案例 DHCP饿死攻击经验案例
H3C 低端以太网交换机典型配置案例DHCP
03-05
DHCP Server:支持使用全局地址池/接口地址池的DHCP Server支持配置IP 地址租期支持为DHCP 客户端分配网关地址、DNS 服务器地址、WINS 服务器地址支持对特殊地址进行静态绑定支持DHCP Server 安全功能:伪DHCPServer...
基于matlab实现实现了基于项目的协同过滤代码,MATLAB实现.rar
05-04
基于matlab实现实现了基于项目的协同过滤代码,MATLAB实现.rar
各地区年末城镇登记失业人员及失业率.xls
最新发布
05-05
数据来源:中国劳动统计NJ-2023版
企业固定资产信息管理系统设计与实现.doc
05-04
企业固定资产信息管理系统设计与实现.doc
node-v11.14.0-darwin-x64.tar.xz
05-04
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
dhcp snooping配置
04-05
DHCP Snooping是一种安全机制,用于过滤和验证DHCP消息,以保护网络免受DHCP欺骗和恶意DHCP服务器的攻击。以下是DHCP Snooping配置步骤: 1. 开启DHCP Snooping功能: Switch(config)# ip dhcp snooping 2. 配置DHCP Snooping信任端口: Switch(config)# interface gigabitethernet 0/1 Switch(config-if)# ip dhcp snooping trust 3. 配置DHCP Snooping绑定端口: Switch(config)# interface gigabitethernet 0/2 Switch(config-if)# ip dhcp snooping limit rate 10 Switch(config-if)# ip dhcp snooping binding vlan 10 4. 配置DHCP Snooping阈值: Switch(config)# ip dhcp snooping threshold 50 5. 配置DHCP Snooping日志: Switch(config)# ip dhcp snooping log 6. 配置DHCP Snooping转发: Switch(config)# ip dhcp snooping vlan 10 Switch(config)# interface vlan 10 Switch(config-if)# ip dhcp snooping information option 7. 保存配置: Switch(config)# end Switch# write memory

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值