H3C交换机DHCP Snooping抑制局域网内非法dhcp

最新推荐文章于 2024-05-08 10:02:12 发布
最新推荐文章于 2024-05-08 10:02:12 发布
阅读量1.1w 收藏 21
点赞数
分类专栏: H3C交换机配置 文章标签: dhcp snooping
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30394823/article/details/89351867
版权

我单位有华三交换机共39台,一种核心交换机s5750-2台,ap交换机s5130-5台,楼层有线(网线)电脑交换机s5130-32台。由其中一台核心交换机做dhcp服务器,通过光纤连接所有s5130交换机的24口。核心交换机共划分了4个vlan,vlan1做管理,vlan2走ap信号,vlan3和vlan4走楼层的网线电脑交换机。
最近发现有人在办公室内私接路由器,并且因为大意,把网线插进了路由器lan口,并且还开启了dhcp,造成vlan4内台式机收到的都是非法的路由器dhcp信息,对办公影响很大。同时因为因为这个路由器有时在线有时不在线,而且我单位有6栋楼,我私下找了一个星期也没找到这个非法路由器。
于是我换了一个思路,如果不能找到它,干脆我就不找了,使用交换机的DHCP Snooping功能,直接屏蔽掉那个非法路由器就可以了。
dhcp snooping功能开启后,默认所有端口为非信任口,即忽略掉所有端口发送的dhcp报文。为了能正常使用网络,我们只需要把上联口即24口(按自己实际情况)设置为信任端口即可。设置完经测试完美达到目的。

借用一张华三的拓扑图,我单位有线网络的拓扑与这个相同。
简单网络示意图
用配置线连接交换机,打开超级通讯,或者使用telnet命令连接交换机
配置命令如下
dhcp snooping enable—开启DHCP Snooping命令(不用大写)

interface GigabitEthernet1/0/24----我的5130交换机上联光口(实际按自己的情况设置)
port link-type trunk----把光口设置成trunk模式,按自己情况非必须
port trunk permit vlan 1 to 4----vlan1-vlan4互通,按自己情况非必须
dhcp snooping trust----设置24口为信任端口,其余均默认为非信任端口。
quit
save
完毕

q@q
关注
  • 0
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
H3C_DHCP_snooping的配置
zsisle的博客
07-07 9572
DHCP SnoopingDHCP的一种安全特性,主要应用在交换机上,作用是屏蔽接入网络中的非法的DHCP服务器。即开启DHCP Snooping功能后,网络中的客户端只有从管理员指定的DHCP服务器获取IP地址。
华三交换机排除非法dhcp 命令
04-17
交换机通过以太网端口GigabitEthernet1/0/1连接到合法DHCP服务器,通过以太网端口GigabitEthernet1/0/3连接到非法DHCP服务器,通过GigabitEthernet1/0/2连接到DHCP客户端。 要求: 与合法DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。记录DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文中DHCP客户端IP地址及MAC地址的绑定信息。
H3C DHCP Snooping+IP source guard 配置
最新发布
normanhere的博客
05-08 319
1、IP Source Guard功能,该功能可以对端口收到的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性。4、具体配置 参照 https://blog.csdn.net/zdl244/article/details/103193145。3、小型局域网,大部分设备使用DHCP 或者DHCP RELAY 分配地址,少部分使用静态IP地址的场景。2、dhcp snooping 功能又可以限制非法DHCP服务器的接入。
h3c dhcp snooping
weixin_30642029的博客
08-23 651
1.组网需求Switch B通过以太网端口Ethernet1/1连接到DHCP服务器,通过以太网端口Ethernet1/2、Ethernet1/3连接到DHCP客户端。要求:l与DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。l记录DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文中DHCP客户端IP地址及MAC地址的绑定关系。...
华三H3C交换机如何配置dhcp服务,如何开启dhcp snooping
热门推荐
年华日记的博客
11-03 2万+
华三交换机如何配置dhcp,开启dhcp snooping 一,核心交换机SW配置 使能dhcp [SW]dhcp enable 创建vlan10并配置交换机vlan10地址 [SW]vlan 10 [SW-vlan10]inter vlan 10 [SW-Vlan-interface10]ip add 192.168.10.1 24 创建dhcp地址池vlan10并配置 [SW]dhcp server ip-pool vlan10 //创建地址池,名为vlan10 [SW-dhcp-pool-vlan
H3C交换机禁止从非法DHCP获取到IP的配置方法
02-06
H3C交换机禁止从非法DHCP获取到IP的配置方法
H3C模拟器 DHCP Snooping 、中继 实例配置
weixin_33749131的博客
04-18 4266
1.DHCP 实例配置 ## 配置步骤(在路由器上配置) ### (1) # 配置接口的 IP 地址。 <H3C> system-view [H3C] interface g 0/0 [[H3C-GigabitEthernet0/0]] ip address 192.168.1.254 24 [[H3C-GigabitEthernet0/0]] quit ### (2)# 启用 ...
H3C交换机技术专题之DHCP Server篇.chm
01-31
目录: DHCP Server问题排查 DHCP Server 问题定位排查手册 DHCP Server 问题FAQ ...S5024PV2-EI 开启dhcp-snooping终端无法获取地址经验案例 ADDC方案中 S6800透传DHCP报文异常问题经验案例 DHCP饿死攻击经验案例
H3C以太网交换机配置案例.rar
11-24
03H3C以太网交换机DHCP服务器配置mp4 04H3C以太网交换机通过 Console口登录设备配置mp4 05H3C以太网交换机通过Web登录设备配置mp4 06H3C以太网交换机基于端口的AN配置mp4 07H3C以太网交换机 GMP Snooping配置mp4 08H...
H3C 交换机常用配置及维护案例
03-19
《轻轻松松配交换 V1.2》,新增:常用配置10篇:包含V5、V7交换机配置SSH(客户端、服务器)、DHCP 中继、DHCP Snooping方法; 2018-9-30 《轻轻松松配交换 V1.1》,新增:常用配置12篇:包含V5、V7交换机配置IRF2...
DHCP Snooping解决DHCP服务器问题.doc
01-07
网络的普及与网络技术的成熟,现在的人越离不开网络,个人的手、电脑、智能家居设备等都需要网络,我们的这些用网的设备无论是在在访问Internet网,还是局域网内部通信都离开不了IP地址的支持,IP地址就是这些硬件在...
DHCP Snooping功能的详细分析.doc
04-06
DHCP Snooping功能的详细分析
H3C 2种型号交换机防止非法DHPCP接入配置
05-05
H3C 交换 2种型号 DHCPSnOOPING设置.H3C有2种类型的交换机,配置方法不同,通过以上文档,可以轻松解决非法DHCP问题。此文档适用于核心交换机和可网管型二层交换机
解决IP地址冲突的完美方法--DHCP SNOOPING
03-26
解决IP地址冲突的完美方法--DHCP SNOOPING 使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING功能。 例子: version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption service compress-config ! hostname C4-2_4506 ! enable password xxxxxxx! clock timezone GMT 8 ip subnet-zero no ip domain-lookup ! ip dhcp snooping vlan 180-181 // 对哪些VLAN 进行限制 ip dhcp snooping ip arp inspection vlan 180-181 ip arp inspection validate src-mac dst-mac ip errdisable recovery cause udld errdisable recovery cause bpduguard errdisable recovery cause security-violation errdisable recovery cause channel-misconfig errdisable recovery cause pagp-flap errdisable recovery cause dtp-flap errdisable recovery cause link-flap errdisable recovery cause l2ptguard errdisable recovery cause psecure-violation errdisable recovery cause gbic-invalid errdisable recovery cause dhcp-rate-limit errdisable recovery cause unicast-flood errdisable recovery cause vmps errdisable recovery cause arp-inspection errdisable recovery interval 30 spanning-tree extend system-id ! ! interface GigabitEthernet2/1 // 对该端口接入的用户进行限制,可以下联交换机 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/2 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/3 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/4 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 --More-- 编者注:对不需要明确地址的所有人的时候是一个很好的解决办法。另外,可以查看www.cisco.com的 IP Source Guard Similar to DHCP snooping, this feature is enabled on a DHCP snooping untrusted Layer 2 port. Initially, all IP traffic on the port is blocked except for DHCP packets that are captured by the DHCP snooping process. When a client receives a valid IP address from the DHCP server, or when a static IP source binding is configured by the user, a per-port and VLAN Access Control List (PACL) is installed on the port. This process restricts the client IP traffic to those source IP addresses configured in the binding; any IP traffic with a source IP address other than that in the IP source binding will be filtered out. This filtering limits a host's ability to attack the network by claiming neighbor host's IP address.
解决IP地址冲突的完美方法-DHCP SNOOPING.pdf
06-03
解决IP地址冲突的完美方法-DHCP SNOOPING.pdf
神州数码交换机DHCP服务器的配置.pdf
06-26
三、 实验设备 1、 DCRS-7604/6808/5526S/3926S 交换机 1 台 2、 PC 机 1-3 台 3、 Console 线 1 根 4、 直通网线若干 四、 实验拓扑 五、 实验要求 为处于不同 VLAN 的 PC 机设置 DHCP 服务器。 在交换机上划分两...
防止私自接交换机_H3C S3100-SI系列交换机利用DHCP Snooping防止内网私自接入DHCPServer...
weixin_35600835的博客
12-23 1369
H3C 3100 SI系列的交换机与其他高端系列相比,功能方面相对弱了很多,而DHCP Snooping 功能支持也有差异。正常情况下,设备启用了DHCP Snooping之后,所有端口都属于不受信任端口,我们可以将直接或者间接连接至DHCPSnooping的端口通过 "dhcp-snooping trust"命令设置为信任端口,其他端口则默认属于不受信任端口,这样就可以通过dhcp ack和dh...
h3c S2000-EA 交换机DHCP Snooping支持Option 82功能的配置
net527的专栏
10-18 1018
<br />一、  组网需求:<br />Switch 的端口Ethernet1/0/5与DHCP 服务器端相连,端口Ethernet1/0/1,Ethernet1/0/2,Ethernet1/0/3分别与DHCP Client A、DHCP Client B、DHCP Client C相连。<br />(1)在Switch上开启DHCP Snooping功能 。<br />(2)设置Switch上端口Ethernet1/0/5为DHCP Snooping信任端口。<br />(3)在Switch
【HUAWEI&H3C】对比华为和华三的DHCP Relay和DHCP Snooping配置
u012468770的博客
01-09 1319
原理 DHCP 饿死攻击 DHCP饿死攻击是指攻击者伪造chaddr字段各不相同的DHCP请求报文,向DHCP服务器申请大量的IP地址,导致DHCP服务器地址池中的地址耗尽,无法为合法的DHCP客户端分配IP地址,或导致DHCP服务器消耗过多的系统资源,无法处理正常业务。 如果封装DHCP请求报文的数据帧的源MAC地址各不相同,则通过mac-address max-mac-count命令限制...
h3c dhcp snooping在核心交换机上怎么配置
07-14
在H3C(华三)交换机上配置DHCP Snooping有助于增强网络的安全性。DHCP Snooping可以防止恶意DHCP服务器攻击,并提供对网络上DHCP流量的控制。以下是在核心交换机上配置DHCP Snooping的一般步骤: 1. 启用DHCP Snooping功能: ``` dhcp enable ``` 2. 指定可信任的接口: ``` interface <接口> dhcp snooping trust ``` 在此步骤中,您需要将可信任的接口配置为连接到您信任的DHCP服务器的接口。这可以确保交换机将从这些接口接收到的DHCP消息视为可靠的。 3. 配置绑定数据库(可选): ``` dhcp snooping database <文件名> ``` 可以选择配置绑定数据库,用于存储动态DHCP Snooping绑定信息。这将提供在交换机重启后恢复绑定信息的能力。 4. 配置其他选项(可选): ``` dhcp snooping vlan <VLAN号> dhcp snooping option allow-untrusted ``` 您可以选择按VLAN启用DHCP Snooping,并配置允许未受信任的DHCP选项消息。 5. 保存并退出配置: ``` save ``` 请注意,具体的配置步骤可能因不同的交换机型号和操作系统版本而有所不同。因此,建议您参考华三交换机的用户手册或联系华三技术支持获取更详细和准确的配置指导。 在配置DHCP Snooping之前,请确保您对网络拓扑和配置有充分的了解,并在非生产环境中进行测试。配置错误可能会导致网络中断或其他问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值