华为eNSP DHCP中继 、DHCP Snooping安全及配置

最新推荐文章于 2024-07-06 15:49:02 发布
最新推荐文章于 2024-07-06 15:49:02 发布
阅读量457 收藏 9
点赞数 8
文章标签: 华为 网络 网络安全 网络协议 安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63822856/article/details/139862734
版权

 一.基本配置

top图:

        DHCP server:

#
 sysname dhcp-server
#
interface GigabitEthernet0/0/0
 ip address 20.1.1.1 255.255.255.0 
 dhcp select global
#
dhcp enable
#
ip pool forvlan10
 gateway-list 192.168.10.254 
 network 192.168.10.0 mask 255.255.255.0 
 dns-list 8.8.8.8 
#
ip pool forvlan20
 gateway-list 192.168.20.254 
 network 192.168.20.0 mask 255.255.255.0 
 excluded-ip-address 192.168.20.1 
 dns-list 8.8.8.8 
#

        核心路由器

#
 sysname hexin-SW
#
interface GigabitEthernet0/0/0
 ip address 20.1.1.2 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 10.1.1.1 255.255.255.0 
#
ospf 1 router-id 5.5.5.5 
 area 0.0.0.0 
  network 10.1.1.0 0.0.0.255 
  network 20.1.1.0 0.0.0.255 
#

汇聚层交换机:

#
sysname huiju-SW
#
undo info-center enable
#
vlan batch 5 10 20
#
dhcp enable
#
interface Vlanif10
 ip address 192.168.10.254 255.255.255.0
 dhcp select relay
 dhcp relay server-ip 20.1.1.1
#
interface Vlanif20
 ip address 192.168.20.254 255.255.255.0
 dhcp select relay
 dhcp relay server-ip 20.1.1.1
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 5
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
#
ospf 1 router-id 2.2.2.2
 import-route direct
 area 0.0.0.0
  network 10.1.1.0 0.0.0.255
#

接入层交换机:

#
sysname jieru-SW
#
undo info-center enable
#
vlan batch 10 20
#
interface Ethernet0/0/1
 port link-type access
 port default vlan 10
#
interface Ethernet0/0/2
 port link-type access
 port default vlan 20
#
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#

二.DHCP安全问题及配置 DHCP Snooping

1.DHCP安全问题       

DHCP应用服务在校园网运营过程中可能存在的问题?

非法的DHCP服务器

用户架设非法DHCP服务器 如果存在恶意用户私自架设了一台DHCP服务器,那么将会使用户获取到错误的IP地址,导致无法接入进校园网

用户私自配置IP

用户使用静态IP地址接入 部分用户手动配置IP地址,但DHCP服务器是不知道的,因此在为DHCP用户分配IP地址的时候,用户通过DHCP获取到的IP地址,在网络中是已经使用的,导致了IP地址冲突。

饿死攻击

属于Dos攻击的一种,攻击者通常构造DHCP client报文,冒充大量用户去请求IP地址,从而耗尽服务器IP资源。

2.安全配置,Snooping功能:

top图:

模拟非法的DHCP

#
 sysname IlegalServer
#
dhcp enable
#
ip pool ilegal
 gateway-list 172.1.1.1 
 network 172.1.1.0 mask 255.255.255.0 
 dns-list 1.1.1.1 
#
interface GigabitEthernet0/0/0
 ip address 170.1.1.1 255.255.255.0 
 dhcp select interface
#

此时vlan10 的用户就有可能获得错误的IP:


 
防止非法的DHCP服务器接入

接入层交换机:

#
sysname jieru-SW
#
undo info-center enable
#
vlan batch 10 20
#
dhcp enable
#
dhcp snooping enable                   开启Snooping功能
#
vlan 10
 dhcp snooping enable
vlan 20
 dhcp snooping enable
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
 dhcp snooping enable                  启用Snooping功能
 dhcp snooping trusted                 设置为信任端口,默认为untrust
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/5
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/6
 port link-type access
 port default vlan 20
#

再次测试PC,获取IP

即使将DHCPserver关了,PC也不会获取到非法的服务器提供的IP。

抓包分析,可以发现交换机不转发discover报文给untrust端口

查看配Snooping置信息

防止用户私自配置IP

开启Snooping功能后,交换机会生成Snooping绑定表

私自配置的IP地址将不可用:

防饿死攻击

在接入层交换机下行端口设置该端口 获得 dhcp地址的最大数为1,防止饿死攻击

[jieru-SW-GigabitEthernet0/0/3]dhcp snooping max-user-number 1

学网工的一只泡沫
关注
  • 8
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ensp dhcp中继配置.docx
01-17
ensp dhcp中继配置
华为 DHCPDHCP中继DHCP snooping
艺博东的博客
03-04 1万+
DHCP客户端获取地址的过程,分为四个阶段:发现阶段,提供阶段,选择阶段,确认阶段。
enspDHCP snooping防护
王先生的蒋小姐的博客
04-16 3942
前言 1,DHCP SnoopingDHCP的一种安全特性,通过截获DHCP Client和DHCPServer之间的DHCP报文并进行分析处理,可以过滤不信任的DHCP报文并建立和维护一个DHCP Snooping绑定表。 2,该绑定表包括MAC地址、IP地址、租约时间、绑定类型、VLAN ID、接口等信息。 3,DHCP Snooping通过记录DHCPClient的IP地址与MAC地址的...
华为模拟器eNSP配置DHCP自动分配IP地址
热门推荐
海阔天空
01-10 3万+
DHCP(Dynamic Host Configuration Protocol)传送主机所需要的配置信息,快速、动态获取IP地址。
ensp华为配置DHCP、VLAN
phoenix7670的博客
10-29 2952
创建完成后可以使用dispaly 命令查看已经存在的vlan。(可不操作),后面分配的地址应该是10.1~10.100。创建好vlan之后开始进行配置
华为DHCP relay(中继配置教程
01-09
如果DHCP客户端和DHCP服务器不在同一网段内,需要DHCP中继负责DHCP服务器DHCP客户端之间的DHCP报文转发,这样可以避免在每个网段部署DHCP服务器,节约成本,方便管理。 DHCP服务器DHCP客户端之间的DHCP报文中继...
ensp DHCP snooping
07-08
通过这个实验,我们将能够深入理解DHCP Snooping如何增强网络安全性和稳定性,同时也能熟练掌握在华为网络设备上配置DHCP Snooping的相关命令。对于网络管理员来说,这是非常实用的技能,能够有效防止网络中的IP...
华为eNSP配置环境所需文件.RAR
10-18
华为eNSP配置环境所需文件。 eNSP-V100R003C00 SPC100(1.3.00.100) VirtualBox-5.2.44 WinPcap-4.1.3 Wireshark-3.6.8 (搭配之前发布的WIN11eNSP安装教程所用,其他Windows版本可参考部分。)
DHCP中继原理和配置.doc
07-14
在实验中,我们使用华为 eNSP 模拟器,配置了一个 DHCP 中继实验,实现了 DHCP 功能。在实验中,我们首先配置DHCP 服务器,然后配置DHCP 中继,最后配置了静态路由,使得 DHCP 服务器能够将响应报文发送给 ...
华为仓颉编程语言
了不起的小白君的博客
06-26 1861
仓颉编程语言是华为公司自主研发的一款静态强类型、编译型语言,具备高效编程、安全可靠、轻松并发和卓越性能等特点。该语言旨在解决全场景应用开发中的挑战,为开发者提供友好的开发体验和卓越的程序性能。自2019年启动研发以来,仓颉编程语言已经历了五年的沉淀和大量研发投入,目前已正式开启开发者预览版。
华为 eNSP 模拟器 配置RIP实例 动态路由协议
tonyhi6的博客
07-03 509
3 查看rip 路由器。
华为快游戏研发负责人Leo:快游戏新生态
Layabox
07-04 538
6月30日,LayaAir迎来了八周岁生日。蓝亚盒子(Layabox)邀请到了抖音集团、腾讯、阿里巴巴、华为、vivo、小米、MiniGame、Amazon、Ton基金会、CrazyGames等国内外知名游戏平台,以及掌趣科技、四三九九、三七游戏、米娅、火花幻境、51游戏等顶尖开发商,共聚海南陵水为LayaAir引擎庆生,同时也借此机会,与陵水蓝亚及陵水数字文化产业云一起联合举办了《全球小游戏论坛...
Qt Group与华为合作开发OpenHarmony版本,打造无缝跨设备操作系统
Infedium的博客
07-03 415
帮助迅速迁移和开发OpenHarmony应用程序
华为HCIP Datacom H12-821 卷22
QIN_yuexiang的博客
07-02 201
所以选项“在使用VRRP协议时,需要在路由器上配置虚拟路由器号和虚拟IP地址,直接使用主路由器真实MAC,这样在这个网络中加入了一个虚拟路由器”的说法是错误的,其他说法都正确。对端接收到这些信息后,将这些信息与自身接口所保存的信息比较,用以选择能够聚合的接口,双方对哪些接口能够成为活动接口达成一致,确定活动链路。默认情况下,Level-1-2路由器并不将自己知道的其他Level-1区域以及骨干区域的路由信息通告给它所在的Level-1区域的路由器,因此Level-1路由器将不了解本区域以外的路由信息。
华为DCN之:SDN和NFV
大龄IT民工
07-02 1221
SDN(Software Defined Network)即软件定义网络。是由斯坦福大学Clean Slate研究组提出的一种新型网络创新架构。其核心理念通过将网络设备控制平面与数据平面分离,从而实现了网络控制平面的集中控制,为网络应用的创新提供了良好的支撑。SDN起源提出了三个特征, “转控分离”、“集中控制”和“开放可编程接口”。SDN的本质诉求是让网络更加开放、灵活和简单。它的实现方式是。为网络构建一个集中的大脑,通过全局视图集中控制,实现或业务快速部署、或流量调优、或网络业务开放等目标。
华为HCIP Datacom H12-821 卷25
QIN_yuexiang的博客
07-04 163
被动Echo功能:两台设备直接相连,且已经建立了异步模式的BFD会话(请参见BFD检测机制),其中一台设备上使能主动Echo功能,另一台设备上使能被动Echo功能后,两台设备会进入异步Echo模式,分别向对端发送BFD报文。BFD回声功能即BFD Echo,是由本地发送BFD Echo报文,远端系统将报文环回的一种检测机制。RP可以动态选举,是由C-RP选出的,BSR动态维护信息,所有路由器都得知道RP的位置,而且在一开始把组播流拉下来的过程中,RPT承担重要的角色。
谈谈华为国产系列
jinyuttt的专栏
07-01 541
目前借着华为发布会,谈谈华为的软件系列。
华为仓颉可以取代 Java 吗?
最新发布
zjj2006的专栏
07-06 316
按照官方报告,仓颉编程语言是一款面向全场景智能的新一代编程语言,主打原生智能化、天生全场景、高性能、强安全。融入鸿蒙生态,为开发者提供良好的编程体验。内嵌AgentDSL的编程框架,自然语言&编程语言有机融合;多Agent协同,简化符号表达,模式自由组合,支持各类智能应用开发。2.天生全场景轻量化可缩放运行时,模块化分层设计,内存再小也能装得下;全场景领域扩展,元编程和eDSL技术,支持面向领域声明式开发。3.高性能终端场景首款全并发 GC ,应用线程更流畅,响应更快。
华为enspdhcp中继
09-14
华为eNSP(企业网络模拟平台)中配置DHCP中继,可以使用以下步骤: 1. 确保你的网络拓扑已经设置好,包括eNSP中的DHCP服务器和需要中继DHCP的接口。 2. 进入eNSP控制台,选择需要配置DHCP中继的设备。 3. 进入接口视图配置模式。例如,如果要在接口GigabitEthernet 0/0/1上配置DHCP中继,可以使用以下命令进入接口视图: interface GigabitEthernet 0/0/1 4. 启用DHCP中继功能。使用以下命令启用DHCP中继dhcp relay enable 5. 配置DHCP中继服务器的IP地址。使用以下命令配置DHCP中继服务器的IP地址: dhcp relay server-ip <server-ip-address> 其中,<server-ip-address>是你的DHCP服务器的IP地址。 6. 配置DHCP服务转发。使用以下命令配置DHCP服务转发: dhcp relay information option allow-untrusted 7. 保存并退出接口视图。 8. 重复上述步骤,为其他需要中继DHCP的接口进行配置。 注意:配置DHCP中继前,请确保你的DHCP服务器已经正确配置,并且网络连接正常。另外,你还需要在目标子网上配置正确的网关地址,以便客户端能够正确获得IP地址。 希望这些步骤能够帮助到你!如果还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值