H3C S3100-SI系列交换机利用DHCP Snooping防止内网私自接入DHCPServer

最新推荐文章于 2022-07-07 23:04:59 发布
最新推荐文章于 2022-07-07 23:04:59 发布
阅读量1.8k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34391445/article/details/85092344
版权

H3C 3100 SI系列的交换机与其他高端系列相比,功能方面相对弱了很多,而DHCP Snooping 功能支持也有差异。

正常情况下,设备启用了DHCP Snooping之后,所有端口都属于不受信任端口,我们可以将直接或者间接连接至DHCPSnooping的端口通过 "dhcp-snooping trust"命令设置为信任端口,其他端口则默认属于不受信任端口,这样就可以通过dhcp ack和dhcp offer 包来屏蔽掉非法的dhcp server.

而3100 SI系列启用dhcp snooping后,默认所有端口都是可信任端口。 这样就导致了单纯启用dhcp snooping 起不到屏蔽非法dhcp server的作用。

因此 3100 SI系列交换机多了一项DHCP防伪冒功能,这个功能的原理就是交换机会从启用防伪冒功能的端口向外发送DHCP-DISCOVER报文,用于探测连接到该端口的DHCP服务器,如果接收到回应报文DHCP-OFFER报文,则认为该端口连接了仿冒的DHCP服务器,交换机会根据配置的处理策略进行处理,通常可以配置的策略为trap和shutdown。

配置非常简单:

#全局启用dhcp snooping:
[6FB-S3100-57]dhcp-snooping
#在直接连接dhcp 客户端的端口上启用防伪冒功能和处理策略
[6FB-S3100-57-Ethernet1/0/33]dhcp-snooping server-guard enable

[6FB-S3100-57-Ethernet1/0/33]dhcp-snooping server-guard method shutdown

当对应端口接入非法dhcp server 后,交换机会自动将端口管理型shutdown.
看一下日志:

2018-05-10 14:01:55 Local7.Alert    172.16.1.57 May 10 14:01:55 2018 6FB-S3100-57 %%10DHCP-SNP/2/DHCPSNOOPING SERVER GUARD(t):- 1 -  Trap 1.3.6.1.4.1.2011.10.2.36.2.0.1(h3cDhcpSnoopSpoofServerDetected): portIndex 4227882 detect DHCP server in VLAN 4 MAC is 1c.39.47.c6.a8.a2 IP is 172.16.4.21  
2018-05-10 14:01:55 Local7.Warning  172.16.1.57 May 10 14:01:55 2018 6FB-S3100-57 %%10DHCP-SNP/5/dhcp-snooping server guard(l):- 1 -   Port 33 detect DHCP server in VLAN 4 MAC is 1c39-47c6-a8a2 IP is 172.16.4.21   
2018-05-10 14:01:56 Local7.Alert    172.16.1.57 May 10 14:01:56 2018 6FB-S3100-57 %%10L2INF/2/PORT LINK STATUS CHANGE(t):- 1 -  Trap 1.3.6.1.6.3.1.1.5.3(linkDown): portIndex is 4227882, ifAdminStatus is 2, ifOperStatus is 2 
2018-05-10 14:01:56 Local7.Warning  172.16.1.57 May 10 14:01:56 2018 6FB-S3100-57 %%10L2INF/5/PORT LINK STATUS CHANGE(l):- 1 -  Ethernet1/0/33 is DOWN

这样我们可以通过监控平台监控交换机的端口管理状态(正常为1,管理性关闭变为2)即可及时知道哪些端口介入了非法DHCP Server,如下图示

H3C S3100-SI系列交换机利用DHCP Snooping防止内网私自接入DHCPServer

weixin_34391445
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
H3C交换机禁止从非法DHCP获取到IP的配置方法
02-06
H3C交换机禁止从非法DHCP获取到IP的配置方法
怎么理解DHCP Snooping
mogexiuluo的博客
01-19 1838
DHCP SnoopingDHCP的一种安全特性,主要应用在交换机上,作用是屏蔽接入网络中的非法的DHCP服务器。 即开启 DHCP Snooping 功能后,网络中的客户端只有从管理员指定的DHCP服务器获取IP地址。由于DHCP报文缺少认证机制,如果网络中存在非法DHCP服务器,管理员将无法保证客户端从管理员指定的DHCP服务器获取合法地址,客户机有可能从非法DHCP服务器获得错误的IP地址等配置信息,导致客户端无法正常使用网络。启用 DHCP S...
H3C交换机DHCP Snooping抑制局域网内非法dhcp
热门推荐
qq_30394823的博客
04-17 1万+
我单位有华三交换机共39台,一种核心交换机s5750-2台,ap交换机s5130-5台,楼层有线(网线)电脑交换机s5130-32台。由其中一台核心交换机dhcp服务器,通过光纤连接所有s5130交换机的24口。核心交换机共划分了4个vlan,vlan1做管理,vlan2走ap信号,vlan3和vlan4走楼层的网线电脑交换机。 最近发现有人在办公室内私接路由器,并且因为大意,把...
中兴配置dhcp服务器,在中兴接入交换机上配置DHCP Snooping
weixin_39660408的博客
07-29 2388
在中兴接入交换机上配置DHCP Snooping作者:网络医生 发布于:2011-8-1 12:00 Monday分类:服务器及网络设备在 ZXR10 2609-EI/2818S-EI/2826S-EI系列交换机中,增加了DHCP Snooping功能。DHCP(Dynamic Host Configuration Protocol)是一种网络主机向服务器申请以动态获取主机配置的协议。由于主机没...
H3C S3100-EI系列交换机
03-25
H3C S3100-EI系列交换机是一款针对高安全性和智能化网络需求设计的以太网交换机,旨在为接入层网络提供强大的性能、全面的安全策略和便捷的管理维护。这款交换机系列旨在解决现代网络环境中常见的安全威胁、管理复杂...
H3C交换机技术专题之DHCP Server篇.chm
01-31
DHCP Server问题排查 DHCP Server 问题定位排查手册 DHCP Server 问题FAQ DHCP地址冲突原因分析 经验案例 S7500E做DHCP中继后客户端获取地址慢问题经验案例 S5024PV2-EI 开启dhcp-snooping终端无法获取地址...
H3C S5120-SI系列以太网交换机-配置手册.pdf
10-11
总的来说,《H3C S5120-SI系列以太网交换机配置手册》是全面指导用户管理和配置H3C S5120-SI交换机的权威参考资料,包含了从基础到高级的网络管理技术,对提升网络效率和保障网络安全具有重要意义。用户可以通过H3C...
华三交换机排除非法dhcp 命令
04-17
交换机通过以太网端口GigabitEthernet1/0/1连接到合法DHCP服务器,通过以太网端口GigabitEthernet1/0/3连接到非法DHCP服务器,通过GigabitEthernet1/0/2连接到DHCP客户端。 要求: 与合法DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。记录DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文中DHCP客户端IP地址及MAC地址的绑定信息。
解决IP地址冲突的完美方法-DHCP SNOOPING.pdf
06-03
解决IP地址冲突的完美方法-DHCP SNOOPING.pdf
二层H3C交换机-解决DHCP下发错误
Gyingxm的博客
07-07 1140
常见出现这种情况是因为在二层交换机上有其它不知名的路由器接入并未关闭DHCP服务导致影响同网段的其它主机。解决方案:在交换机上主干口配置: 在全局下配置 即可解决!顺序不可颠倒!!!顺序不可颠倒!!!顺序不可颠倒!!!...
怎么屏蔽局域网内的其他dhcp server
weixin_33971977的博客
05-11 2614
DHCP SnoopingDHCP SnoopingDHCP监听将交换机端口划分为两类:信任端口(Trust):连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口;非信任端口(Untrusted):通常为连接终端设备的端口,如PC,网络打印机等。HCP Snooping的作用:1.DHCP Snooping的主要作用就是通过配置非信任端口,隔绝非法的DHCP Serve...
华三交换机开机dhcp snooping
qq_42906357的博客
12-29 1487
华三交换机开启dhcp snooping dhcp snooping enable int gig0/0/1 dhcp snooping trust dis dhcp snooping trust
H3C_DHCP_snooping的配置
zsisle的博客
07-07 9687
DHCP SnoopingDHCP的一种安全特性,主要应用在交换机上,作用是屏蔽接入网络中的非法的DHCP服务器。即开启DHCP Snooping功能后,网络中的客户端只有从管理员指定的DHCP服务器获取IP地址。
DHCPv6 snooping
qq_18631331的博客
06-27 2903
DHCP V6简要说明ipv6存在三种IP地址配置方式,一种是动态配置(dhcp)是本文介绍的主要对象;一种是无状态地址自动配置(SLAAC,即设备中生成IP),这个是DNP snooping关心的,本文不涉及;第三种就是静态配置,即用户手动设置,是本文中防护措施需要考虑的场景之一。DHCPv6 是DHCP协议的ipv6版本。该协议允许终端快速自动地获取IPV6地址。该协议方便网络管理员管理和验证...
防止私自交换机_H3C S3100-SI系列交换机利用DHCP Snooping防止内网私自接入DHCPServer...
weixin_35600835的博客
12-23 1379
H3C 3100 SI系列交换机与其他高端系列相比,功能方面相对弱了很多,而DHCP Snooping 功能支持也有差异。正常情况下,设备启用了DHCP Snooping之后,所有端口都属于不受信任端口,我们可以将直接或者间接连接至DHCPSnooping的端口通过 "dhcp-snooping trust"命令设置为信任端口,其他端口则默认属于不受信任端口,这样就可以通过dhcp ack和dh...
22、华为 华三中小型企业网络架构搭建 【内网安全部署之DHCP Snooping+DAI+IPSG 防止恶意DHCP与IP冲突等】
网络之路Blog(其他平台同名)
02-25 2021
拓扑 拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可) 实现控制只能获取企业内部合法的DHCP服务分配的地址,而其余的DHCP服务器则不能通过。 说明:为什么需要该技术呢,因为DHCP的工作原理是最先响应的服务器,PC就获取该服务器分配的IP地址,这样的话有些恶意的人把网关指向自己的电脑,然后通过抓包工具等实现抓包分析等功能,这样造成不安全,另外就是网段不一致了,导致访问公司内网或外网出现问题,所以我们必须杜绝该问题的出现。 正常情况下,内网的用户都是通过内部部
H3C S5120-SI系列交换机配置详解
H3C S5120-SI系列以太网交换机操作手册详细涵盖了这款交换机的各种配置和管理功能,适用于网络管理员和技术人员进行设备的部署、维护以及故障排除。该手册主要包括以下部分: 1. **总述**:介绍了交换机的系统特性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值