华为eNSP DHCP中继 、DHCP Snooping安全及配置

于 2024-06-22 19:15:13 发布
阅读量507 收藏 10
点赞数 8
文章标签: 华为 网络 网络安全 网络协议 安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63822856/article/details/139862734
版权

 一.基本配置

top图:

        DHCP server:

#
 sysname dhcp-server
#
interface GigabitEthernet0/0/0
 ip address 20.1.1.1 255.255.255.0 
 dhcp select global
#
dhcp enable
#
ip pool forvlan10
 gateway-list 192.168.10.254 
 network 192.168.10.0 mask 255.255.255.0 
 dns-list 8.8.8.8 
#
ip pool forvlan20
 gateway-list 192.168.20.254 
 network 192.168.20.0 mask 255.255.255.0 
 excluded-ip-address 192.168.20.1 
 dns-list 8.8.8.8 
#

        核心路由器

#
 sysname hexin-SW
#
interface GigabitEthernet0/0/0
 ip address 20.1.1.2 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 10.1.1.1 255.255.255.0 
#
ospf 1 router-id 5.5.5.5 
 area 0.0.0.0 
  network 10.1.1.0 0.0.0.255 
  network 20.1.1.0 0.0.0.255 
#

汇聚层交换机:

#
sysname huiju-SW
#
undo info-center enable
#
vlan batch 5 10 20
#
dhcp enable
#
interface Vlanif10
 ip address 192.168.10.254 255.255.255.0
 dhcp select relay
 dhcp relay server-ip 20.1.1.1
#
interface Vlanif20
 ip address 192.168.20.254 255.255.255.0
 dhcp select relay
 dhcp relay server-ip 20.1.1.1
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 5
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
#
ospf 1 router-id 2.2.2.2
 import-route direct
 area 0.0.0.0
  network 10.1.1.0 0.0.0.255
#

接入层交换机:

#
sysname jieru-SW
#
undo info-center enable
#
vlan batch 10 20
#
interface Ethernet0/0/1
 port link-type access
 port default vlan 10
#
interface Ethernet0/0/2
 port link-type access
 port default vlan 20
#
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#

二.DHCP安全问题及配置 DHCP Snooping

1.DHCP安全问题       

DHCP应用服务在校园网运营过程中可能存在的问题?

非法的DHCP服务器

用户架设非法DHCP服务器 如果存在恶意用户私自架设了一台DHCP服务器,那么将会使用户获取到错误的IP地址,导致无法接入进校园网

用户私自配置IP

用户使用静态IP地址接入 部分用户手动配置IP地址,但DHCP服务器是不知道的,因此在为DHCP用户分配IP地址的时候,用户通过DHCP获取到的IP地址,在网络中是已经使用的,导致了IP地址冲突。

饿死攻击

属于Dos攻击的一种,攻击者通常构造DHCP client报文,冒充大量用户去请求IP地址,从而耗尽服务器IP资源。

2.安全配置,Snooping功能:

top图:

模拟非法的DHCP

#
 sysname IlegalServer
#
dhcp enable
#
ip pool ilegal
 gateway-list 172.1.1.1 
 network 172.1.1.0 mask 255.255.255.0 
 dns-list 1.1.1.1 
#
interface GigabitEthernet0/0/0
 ip address 170.1.1.1 255.255.255.0 
 dhcp select interface
#

此时vlan10 的用户就有可能获得错误的IP:


 
防止非法的DHCP服务器接入

接入层交换机:

#
sysname jieru-SW
#
undo info-center enable
#
vlan batch 10 20
#
dhcp enable
#
dhcp snooping enable                   开启Snooping功能
#
vlan 10
 dhcp snooping enable
vlan 20
 dhcp snooping enable
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
 dhcp snooping enable                  启用Snooping功能
 dhcp snooping trusted                 设置为信任端口,默认为untrust
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/5
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/6
 port link-type access
 port default vlan 20
#

再次测试PC,获取IP

即使将DHCPserver关了,PC也不会获取到非法的服务器提供的IP。

抓包分析,可以发现交换机不转发discover报文给untrust端口

查看配Snooping置信息

防止用户私自配置IP

开启Snooping功能后,交换机会生成Snooping绑定表

私自配置的IP地址将不可用:

防饿死攻击

在接入层交换机下行端口设置该端口 获得 dhcp地址的最大数为1,防止饿死攻击

[jieru-SW-GigabitEthernet0/0/3]dhcp snooping max-user-number 1

学网工的一只泡沫
关注
  • 8
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ensp DHCP snooping
QQASDWW的博客
07-08 589
dhcpsnooping
ensp dhcp中继配置.docx
01-17
ensp dhcp中继配置
DHCP中继原理和配置.doc
07-14
DHCP中继原理和配置.doc
华为DHCP relay(中继配置教程
01-09
注: 如果DHCP客户端和DHCP服务器不在同一网段内,需要DHCP中继负责DHCP服务器DHCP客户端之间的DHCP报文转发,这样可以避免在每个网段部署DHCP服务器,节约成本,方便管理。 DHCP服务器DHCP客户端之间的DHCP报文中继次数不能超过16次,否则DHCP报文将被丢弃。 设备作为DHCP中继时,如果使能了STP功能,可能会造成地址分配较慢。STP功能缺省处于使能状态,如果确认不需要使能STP功能,可以执行命令undo stp enable去使能STP功能。 当DHCP客户端与DHCP服务器经过三层设备相连时(不在同一网段),需要DHCP中继设备在中间担当一个代理角色,负责
DHCP Snooping Option 82配置举例.pdf
04-15
描绘了DHCP Snooping 的原理和具体配置
华为eNSP配置DHCP Snooping防欺骗
嘻嘻哥哥~的博客
02-19 4531
DHCP Snooping防欺骗 R1真DHCP服务器配置: <Huawei>system-view #进入系统视图 Enter system view, return user view with Ctrl+Z. [Huawei]sysname R1 #更改设备名称为R1 [R1]dhcp enable
ensp实践dhcp服务
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
05-23 9334
1、DHCP过程说明 2、dhcp接口分配模式 3、dhcp接口地址池分配模式 4、DHCP relay (dhcp 中继) 5、DHCP Snooping 6、PC无法上网的解决方法
enspDHCP snooping防护
王先生的蒋小姐的博客
04-16 3978
前言 1,DHCP SnoopingDHCP的一种安全特性,通过截获DHCP Client和DHCPServer之间的DHCP报文并进行分析处理,可以过滤不信任的DHCP报文并建立和维护一个DHCP Snooping绑定表。 2,该绑定表包括MAC地址、IP地址、租约时间、绑定类型、VLAN ID、接口等信息。 3,DHCP Snooping通过记录DHCPClient的IP地址与MAC地址的...
华为eNSP配置环境所需文件.RAR
10-18
华为eNSP配置环境所需文件。 eNSP-V100R003C00 SPC100(1.3.00.100) VirtualBox-5.2.44 WinPcap-4.1.3 Wireshark-3.6.8 (搭配之前发布的WIN11eNSP安装教程所用,其他Windows版本可参考部分。)
解决IP地址冲突的完美方法--DHCP SNOOPING
03-26
解决IP地址冲突的完美方法--DHCP SNOOPING 使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING功能。 例子: version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption service compress-config ! hostname C4-2_4506 ! enable password xxxxxxx! clock timezone GMT 8 ip subnet-zero no ip domain-lookup ! ip dhcp snooping vlan 180-181 // 对哪些VLAN 进行限制 ip dhcp snooping ip arp inspection vlan 180-181 ip arp inspection validate src-mac dst-mac ip errdisable recovery cause udld errdisable recovery cause bpduguard errdisable recovery cause security-violation errdisable recovery cause channel-misconfig errdisable recovery cause pagp-flap errdisable recovery cause dtp-flap errdisable recovery cause link-flap errdisable recovery cause l2ptguard errdisable recovery cause psecure-violation errdisable recovery cause gbic-invalid errdisable recovery cause dhcp-rate-limit errdisable recovery cause unicast-flood errdisable recovery cause vmps errdisable recovery cause arp-inspection errdisable recovery interval 30 spanning-tree extend system-id ! ! interface GigabitEthernet2/1 // 对该端口接入的用户进行限制,可以下联交换机 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/2 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/3 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/4 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 --More-- 编者注:对不需要明确地址的所有人的时候是一个很好的解决办法。另外,可以查看www.cisco.com的 IP Source Guard Similar to DHCP snooping, this feature is enabled on a DHCP snooping untrusted Layer 2 port. Initially, all IP traffic on the port is blocked except for DHCP packets that are captured by the DHCP snooping process. When a client receives a valid IP address from the DHCP server, or when a static IP source binding is configured by the user, a per-port and VLAN Access Control List (PACL) is installed on the port. This process restricts the client IP traffic to those source IP addresses configured in the binding; any IP traffic with a source IP address other than that in the IP source binding will be filtered out. This filtering limits a host's ability to attack the network by claiming neighbor host's IP address.
配置DHCP Snooping功能
06-19
本文将详细介绍如何在华为设备上配置DHCP Snooping功能,确保网络环境的安全。 #### 二、DHCP Snooping概述 DHCP Snooping是一种监视DHCP通信并记录相关信息的技术,它能够帮助网络管理员识别和阻止非法DHCP服务器...
eNSP模拟器中DHCP实验4(DHCP Snooping
qq_44858960的博客
04-05 2167
-----此实验简单的演示DHCP Snooping配置过程---- 1. 实验与拓扑图及相关说明 DHCP Snooping 的应用场景:如图,此时存在2个DHCP服务器,但是受信的只有DHCPServer1,无法验证DHCPServer2的安全性。所以PC1只需要从DHCPServer1处获得IP地址即可,拒绝Server2处的DHCP ack 应答报文。 拓扑图说明:实验使用2台AR2...
ensp (dhcp snooping配置实验)
qq_46258964的博客
08-21 2966
DHCP 安全 防治和保护 dhcp shooping 相当于交换机里面形成了一个无形的防火墙 如图 配置步骤 防止仿冒DHCP Server攻击方法**(在交换机上配置)** [Huawei]dhcp enable 交换机上开启DHCP [Huawei]dhcp snooping enable 交换机上开启DHCP snooping [Huawei]vlan 1 [Huawei-vlan1]dhcp snooping enable [Huawei]interfa
华为中型网ensp
YYYYU_ZHIZZZ的博客
05-22 801
1、实现 1、MSTP防环、设置边缘端口 2、CORE充当DHCP服务器,地址池双核心各使用一半(1-127/128-254) 3、开启DHCP嗅探并生成dhcp snooping绑定表,防止DHCP饿死攻击和内网用户仿冒 4、ACC4使用IPSG技术,静态绑定http server 和ftp server的ip、mac、vlan、接口 5、双核心之间配置链路聚合、vrrp 6、出口路由AR1配置NAT地址转换、NAT server和GRE VPN 2、拓扑图 3、命令(可刷) ACC1 sys sys
ensp华为配置DHCP、VLAN
phoenix7670的博客
10-29 2976
创建完成后可以使用dispaly 命令查看已经存在的vlan。(可不操作),后面分配的地址应该是10.1~10.100。创建好vlan之后开始进行配置
eNSP下园区网综合实验分步配置(4)DHCP中继、PPPOE
m0_51770049的博客
04-22 3504
DHCP中继及PPPOE拨号配置
华为enspdhcp中继
最新发布
09-14
华为eNSP(企业网络模拟平台)中配置DHCP中继,可以使用以下步骤: 1. 确保你的网络拓扑已经设置好,包括eNSP中的DHCP服务器和需要中继DHCP的接口。 2. 进入eNSP控制台,选择需要配置DHCP中继的设备。 3. 进入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值