ensp 做 DHCP snooping防护

最新推荐文章于 2025-03-22 21:05:05 发布
最新推荐文章于 2025-03-22 21:05:05 发布
阅读量4.6k 收藏 38
点赞数 7
分类专栏: kali linux学习笔记 数通学习笔记 文章标签: 网络 安全 路由器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44847002/article/details/105554368
版权

前言

1,DHCP Snooping是DHCP的一种安全特性,通过截获DHCP Client和DHCPServer之间的DHCP报文并进行分析处理,可以过滤不信任的DHCP报文并建立和维护一个DHCP Snooping绑定表。
2,该绑定表包括MAC地址、IP地址、租约时间、绑定类型、VLAN ID、接口等信息。
3,DHCP Snooping通过记录DHCPClient的IP地址与MAC地址的对应关系,保证合法用户能访问网络,作用相当于在DHCP Client和DHCPServer之间建立一道防火墙。
4,DHCP Snooping可以解决设备应用DHCP时遇到DHCP DoS(Denial ofService)攻击、DHCP Server仿冒攻击、DHCP仿冒续租报文攻击等问题。

如图所示,在这里我们模拟把PC3作为客户端,路由器AR1作为真的DHCP服务器,路由器AR2作为假的服务器(做为“黑客”服务器)。交换机LSW1应用在用户网络PC3和DHCP服务器的网络之间,为防止 jia DHCP Server仿冒(AR2)攻击,要求在LSW1上的GE 0/0/2端口应用DHCP Snooping功能,把用户侧的接口配置为Untrusted模式,把运营商网络侧的接口配置为Trusted模式,同时配置DHCP Reply报文丢弃告警功能。

实验拓扑图
在这里插入图片描述
(注意:12.1.1.0/24和13.1.1.0/24网段任意配置做实验)

AR1-real DHCP server的配置:(真服务器)

[ar1-real-GigabitEthernet0/0/0]ip address 12.1.1.1 24
[ar1-real-GigabitEthernet0/0/0]dhcp select global
[ar1-real]dhcp enable
[ar1-real]ip pool dhcp
[ar1-real-ip-pool-dhcp]network 12.1.1.0  mask 255.255.255.0
[ar1-real-ip-pool-dhcp]gateway-list 12.1.1.1
[ar1-real-ip-pool-dhcp]dns-list 12.1.1.1

PC3获取的ip地址为:(此时的PC3客户端是从AR1真的DHCP服务器获取到的IP地址)

在这里插入图片描述
AR2-jia DHCP server 的配置:

[ar2-jia]int g0/0/0
[ar2-jia-GigabitEthernet0/0/0]ip address 13.1.1.1 24
[ar2-jia-GigabitEthernet0/0/0]dhcp select interface

PC3重新获取ip地址为:
此时的PC3获取到的IP地址不稳定,可能是从仿冒者那里获取的13.1.1.0/24网段的IP地址
在这里插入图片描述
抓包查看:
在这里插入图片描述

然后我们在LSW1连接AR1 real dhcp server 的接口做snooping功能。

LSW1交换机开启snooping功能:

[LSW1]dhcp enable
[LSW1]dhcp snooping enable

[LSW1-vlan1]dhcp snooping enable

配置指定接口为Trusted模式
[LSW1]int g0/0/2
[LSW1-GigabitEthernet0/0/2]dhcp snooping trusted

同时开启DHCP Reply报文丢弃告警功能
[LSW1-GigabitEthernet0/0/2]dhcp snooping alarm dhcp-reply enable threshold 120

PC3重新获取IP地址(多次执行ipconfig /renew发现没有获取仿冒者的IP地址段)
在这里插入图片描述
查看LSW1的mac绑定列表

[LSW1-GigabitEthernet0/0/2]dis dhcp snooping user-bind vlan 1
在这里插入图片描述
此时PC3的mac被绑定在LSW1的GE 0/0/2接口上了
这样就简单实现了DHCP snooping防护

eNSP模拟器中DHCP实验4(DHCP Snooping
qq_44858960的博客
04-05 2429
-----此实验简单的演示DHCP Snooping的配置过程---- 1. 实验与拓扑图及相关说明 DHCP Snooping 的应用场景:如图,此时存在2个DHCP服务器,但是受信的只有DHCPServer1,无法验证DHCPServer2的安全性。所以PC1只需要从DHCPServer1处获得IP地址即可,拒绝Server2处的DHCP ack 应答报文。 拓扑图说明:实验使用2台AR2...
ensp DHCP snooping
QQASDWW的博客
07-08 690
dhcpsnooping
eNSP实验——DHCP配置(接口模式+全局模式+中继模式)
记录
03-22 4540
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一种网络协议,用于自动分配IP 地址、子网掩码、默认网关、DNS服务器等网络参数给客户端设备。它简化了网络管理,避免了手动配置 IP 地址的繁琐和错误。
华为eNSP实验:DHCP Snooping
2301_79997551的博客
10-21 1429
LSW1-GigabitEthernet0/0/3]dhcp snooping max-user-number 1 //设置DCHP获取IP地址最大数量为1。[LSW1-vlan1]dhcp snooping trusted interface g0/0/1 //设置g0/0/1接口为信任接口。[R1-GigabitEthernet0/0/0]dhcp select interface //基于接口的DHCP。[R1]dhcp enable //开启DHCP
华为eNSP配置DHCP Snooping防欺骗
嘻嘻哥哥~的博客
02-19 5349
DHCP Snooping防欺骗 R1真DHCP服务器配置: <Huawei>system-view #进入系统视图 Enter system view, return user view with Ctrl+Z. [Huawei]sysname R1 #更改设备名称为R1 [R1]dhcp enable
华为eNSP:配置DHCP Snooping
nankon_的博客
11-04 1797
DHCP服务器。
ensp (dhcp snooping配置实验)
qq_46258964的博客
08-21 3209
DHCP 安全 防治和保护 dhcp shooping 相当于交换机里面形成了一个无形的防火墙 如图 配置步骤 防止仿冒DHCP Server攻击方法**(在交换机上配置)** [Huawei]dhcp enable 交换机上开启DHCP [Huawei]dhcp snooping enable 交换机上开启DHCP snooping [Huawei]vlan 1 [Huawei-vlan1]dhcp snooping enable [Huawei]interfa
ensp dhcp snooping
最新发布
04-13
### ENSP DHCP Snooping ...尽管 DHCP Snooping 可显著提高整体防护水平,但也可能带来额外开销甚至影响性能表现。因此,在大规模部署前务必充分评估资源消耗情况,并合理规划冗余容量以防万一发生拥塞等问题。 ---
ensp怎么dhcp
07-27
- *3* [ensp DHCP snooping防护](https://blog.csdn.net/weixin_44847002/article/details/105554368)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
DHCP仿冒及防护
ssslq的博客
02-17 1948
DHCP攻击与防御
解决IP地址冲突的完美方法--DHCP SNOOPING
03-26
解决IP地址冲突的完美方法--DHCP SNOOPING 使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING功能。 例子: version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption service compress-config ! hostname C4-2_4506 ! enable password xxxxxxx! clock timezone GMT 8 ip subnet-zero no ip domain-lookup ! ip dhcp snooping vlan 180-181 // 对哪些VLAN 进行限制 ip dhcp snooping ip arp inspection vlan 180-181 ip arp inspection validate src-mac dst-mac ip errdisable recovery cause udld errdisable recovery cause bpduguard errdisable recovery cause security-violation errdisable recovery cause channel-misconfig errdisable recovery cause pagp-flap errdisable recovery cause dtp-flap errdisable recovery cause link-flap errdisable recovery cause l2ptguard errdisable recovery cause psecure-violation errdisable recovery cause gbic-invalid errdisable recovery cause dhcp-rate-limit errdisable recovery cause unicast-flood errdisable recovery cause vmps errdisable recovery cause arp-inspection errdisable recovery interval 30 spanning-tree extend system-id ! ! interface GigabitEthernet2/1 // 对该端口接入的用户进行限制,可以下联交换机 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/2 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/3 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/4 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 --More-- 编者注:对不需要明确地址的所有人的时候是一个很好的解决办法。另外,可以查看www.cisco.com的 IP Source Guard Similar to DHCP snooping, this feature is enabled on a DHCP snooping untrusted Layer 2 port. Initially, all IP traffic on the port is blocked except for DHCP packets that are captured by the DHCP snooping process. When a client receives a valid IP address from the DHCP server, or when a static IP source binding is configured by the user, a per-port and VLAN Access Control List (PACL) is installed on the port. This process restricts the client IP traffic to those source IP addresses configured in the binding; any IP traffic with a source IP address other than that in the IP source binding will be filtered out. This filtering limits a host's ability to attack the network by claiming neighbor host's IP address.
DHCP Snooping Option 82配置举例.pdf
04-15
描绘了DHCP Snooping 的原理和具体配置
华为eNSP DHCP中继 、DHCP Snooping安全及配置
qq_63822856的博客
06-22 2035
ensp模拟器,DHCP中继的配置,DHCP安全问题和问题解决方法。
华为ensp---DHCP SNOOPING实验
qq_33754943的博客
06-10 1760
拓扑图 交换机配置: 因为AR中没有192.168.20.0和192.168.40.0的路由表,所以在AR中要添加静态路由 DHCP服务器配置(AR代替) 结果:终端成功获得地址
华为eNSP-DHCP Snooping
m0_73931111的博客
11-19 860
DHCP存在的问题:1. 用户使用静态IP,可能导致地址冲突用户假设2. 非法的DHCP服务器,使vlan内用户获取到错误的IP地址导致无法上网。DHCP Snooping :在接入交换机上使用DHCP Snooping相关功能,可以实现防止下联用户架设非法DHCP服务器。将接分为信任接口和非信任接口。开启之后默认情况下所有接口都是非信任接口。拓扑LSW2LSW4 为假的DHCP服务器为PC2 提供IP地址。
DHCP Snooping
fanjinhong_8521的博客
03-13 879
是一种网络安全特性,主要用于防止DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)相关的攻击,如DHCP欺骗(DHCP Spoofing)和ARP欺骗(ARP Spoofing)。只允许接收DHCP客户端的请求包(如DHCP Discover、DHCP Request),而丢弃来自非信任端口的DHCP服务器响应包。记录合法的DHCP租约信息(IP地址、MAC地址、端口、VLAN等),用于后续的网络安全检查(如动态ARP检测)。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夏日的清晨

谢谢,只求点赞哟

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值