华为dhcpsnooping配置实例
华为交换机DHCPSNOOPING功能使用案例解析
手动添加一个user-bind表项测试
[Quidway]user-bind static ip-address 192.168.0.250 mac-address c454-4400-3f71
可以ping通网关
得出结论:
如果一个网段中有部分预留的IP地址要使用的话,必须手动添加user-bind表项才行,如果是DHCP获取的IP地址可以自动的生产user-bind表项,不用添加,总之dhcp snooping + user-bind是一个非常好的功能,再也不用担心下面接入交换机上乱接小路由器的lan口而担心了!哈哈!
dhcp snooping trusted
4、dhcp snooping测试情况(一)
电脑获取到了来自dhcp信任端口24号口的dhcp报文,IP地址获取到192.168.0.0/24网段
发现来不信任端口23号端口上的dhcp报文被丢弃
[Quidway-Ethernet0/0/24]display dhcp snooping interface Ethernet 0/0/23
4.使用笔记本电脑获取IP地址
3、dhcp snooping测试配置(一)
#
dhcp enable
dhcp snooping enable
#
interface Ethernet0/0/23
dhcp snooping enable
#
interface Ethernet0/0/24
dhcp snooping enable
修改我笔记本电脑上的IP地址测试(修改为dhcp范围之外的192.168.0.250)
交换机上1号端口发现了在user-bind表现外的报文,直接丢弃了
DHCP Snooping功能与实例详解 -经典
DHCP Snooping功能与实例详解架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了网络配置,提高了管理效率。
但在DHCP服务的管理上存在一些问题,常见的有:●DHCP Server的冒充●DHCP Server的DOS攻击,如DHCP耗竭攻击●某些用户随便指定IP地址,造成IP地址冲突1、DHCP Server的冒充由于DHCP服务器和客户端之间没有认证机制,所以如果在网络上随意添加一台DHCP 服务器,它就可以为客户端分配IP地址以及其他网络参数。
只要让该DHCP服务器分配错误的IP地址和其他网络参数,那就会对网络造成非常大的危害。
2、DHCP Server的拒绝服务攻击通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR(也就是Client MAC address)字段来判断客户端的MAC地址。
正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。
攻击者可以利用伪造MAC的方式发送DHCP请求,但这种攻击可以使用Cisco 交换机的端口安全特性来防止。
端口安全特性(Port Security)可以限制每个端口只使用唯一的MAC地址。
但是如果攻击者不修改DHCP请求报文的源MAC地址,而是修改DHCP报文中的CHADDR字段来实施攻击,那端口安全就不起作用了。
由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端,所以攻击者可以通过大量发送伪造CHADDR的DHCP请求,导致DHCP服务器上的地址池被耗尽,从而无法为其他正常用户提供网络地址,这是一种DHCP耗竭攻击。
DHCP耗竭攻击可以是纯粹的DOS攻击,也可以与伪造的DHCP服务器配合使用。
当正常的DHCP服务器瘫痪时,攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址,使它们将信息转发给准备截取的恶意计算机。
甚至即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的,但由于DHCP请求报文是广播报文,如果大量发送的话也会耗尽网络带宽,形成另一种拒绝服务攻击。
15-dhcp-snooping命令
【参数】 无
【描述】 dhcp-snooping 命 令 用 来 开 启 交 换 机 监 听 DHCP 广 播 报 文 的 功 能 , undo dhcp-snooping 命令用来关闭此功能。 缺省情况下,交换机关闭监听 DHCP 广播报文功能。 相关配置可参考命令 display dhcp-snooping。
【视图】 任意视图
1-1
H3C S3100-SI 系列以太网交换机 命令手册 DHCP-Snooping
【参数】
无
第 1 章 DHCP-Snooping 配置命令
【描述】
display dhcp-snooping 命令用来显示通过 DHCP-Snooping 记录的用户 IP 地址和 MAC 地址的对应关系。 相关配置可参考命令 dhcp-snooping。
【举例】 # 启动监听 DHCP 功能。
<H3C> system-view System View: return to User View with Ctrl+Z [H3C] dhcp-snooping
1.1.2 display dhcp-snooping
【命令】 display dhcp-snooping
H3C S3100-SI 系列以太网交换机 命令手册 DHCP-Snooping
目录
目录
第 1 章 DHCP-Snooping配置命令 ...........................................................................................1-1 1.1 DHCP-Snooping配置命令.................................................................................................. 1-1 1.1.1 dhcp-snooping......................................................................................................... 1-1 1.1.2 display dhcp-snooping ............................................................................................ 1-1
华为交换机DHCPsnooping配置教程
华为交换机DHCP snooping配置教程DHCP Snooping是一种DHCP平安特性,在配置DHCP Snooping各平安功能之前需首先使能DHCP Snooping功能。
使能DHCP Snooping功能的顺序是先使能全局下的DHCP Snooping功能,再使能接口或VLAN下的DHCP Snooping功能。
图1配置DHCP Snooping根本功能组网图如上图1所示,Switch_1是二层接入设备,将用户PC的DHCP请求转发给DHCP 效劳器。
以Switch_1为例,在使能DHCP Snooping功能时需要注意:使能DHCP Snooping功能之前,必须已使用命令dhcp enable使能了设备的DHCP功能。
全局使能DHCP Snooping功能后,还需要在连接用户的接口〔如图中的接口if1、if2和if3〕或其所属VLAN〔如图中的VLAN 10〕使能DHCP Snooping功能。
当存在多个用户PC属于同一个VLAN时,为了简化配置,可以在这个VLAN 使能DHCP Snooping功能。
请在二层网络中的接入设备或第一个DHCP Relay上执行以下步骤。
1、使能DHCP Snooping功能[Huawei]dhcp snooping enable ?ipv4DHCPv4 Snoopingipv6DHCPv6 Snoopingvlan Virtual LAN<cr>或[Huawei]dhcp snooping over-vpls enable#使能设备在VPLS网络中的DHCP Snooping功能或[Huawei-vlan2]dhcp snooping enable[Huawei-GigabitEthernet0/0/3]dhcp snooping enable2、配置接口信任状态[Huawei-GigabitEthernet0/0/2]dhcp snooping trusted或[Huawei-vlan3]dhcp snooping trusted interface GigabitEthernet 0/0/63、去使能DHCP Snooping用户位置迁移功能在移动应用场景中,假设某一用户由接口A上线后,切换到接口B重新上线,用户将发送DHCP Discover报文申请IP地址。
HuaweiDHCP中继配置实例
HuaweiDHCP中继配置实例配置DHCP中继⽰例组⽹需求如DHCP服务器应当配置⼀个10.100.0.0/16⽹段的IP地址池,DNS服务器地址为10.100.1.2/16,NetBIOS服务器地址10.100.1.3/16,出⼝⽹关地址10.100.1.4,并且DHCP服务器上应当配置有到10.100.0.0/16⽹段的路由。
图1 配置DHCP中继组⽹图配置思路DHCP服务器的配置思路如下:1. 使能DHCP中继服务器S-switch的DHCP功能2. 配置接⼝VLANIF2的地址3. 在接⼝VLANIF1配置IP以及中继地址并使能接⼝的DHCP中继功能4. 配置DHCP服务器Router到10.100.0.0/16⽹段的路由5. 使能Router的DHCP功能6. 配置Router的接⼝GE0/0/1下的客户端从全局地址池中获取IP地址7. 在Router上配置全局地址池数据准备完成此配置举例,需要准备以下数据:· 要实现DHCP中继功能的接⼝的IP地址· DHCP服务器的地址配置步骤1. 在DHCP中继上进⾏配置# 使能DHCP服务。
<Quidway> system-view[Quidway] sysname S-switch[S-switch] dhcp enable# 配置接⼝VLANIF2的地址。
[S-switch] interface vlanif 2[S-switch-Vlanif2] ip address 202.40.1.1 255.255.0.0[S-switch-Vlanif2] quit# 进⼊要实现DHCP中继功能的接⼝,为其配置IP地址、⼦⽹掩码和DHCP中继地址。
[S-switch] interface vlanif 1[S-switch-Vlanif1] ip address 10.100.1.1 255.255.0.0[S-switch-Vlanif1] ip relay address 202.40.1.2[S-switch-Vlanif1] dhcp select relay[S-switch-Vlanif1] quit2. 在DHCP服务器上进⾏配置# 配置Router到S-switch与客户端相连接⼝VLANIF1的路由。
华为路由器IP地址及DHCP的设置方法
华为路由器I P地址及D H C P的设置方法本页仅作为文档封面,使用时可以删除This document is for reference only-rar21year.March华为路由器IP地址及DHCP的设置方法首先我们要通过consol口连接到路由器,自备consol线,点击“开始”->“所有程序”->“附件”->“通讯”->“超级终端”(如果没有超级终端的话,需要使用到安装光盘在添加删除组件中添加上它或使用类似于SecureCRT等软件进行连接)。
在出现的窗口中选择com3口如下图;点击配置进入新窗口并按图中的设置进行配置,设置好以后点击“应用”,如下图:选择“设置”选项卡将“终端仿真”设置成VT100,点击“确定”。
如下图:这样的话我们就可以成功的登录路由器了。
成功登录路由器以后按下面进行配置:<>system-view /*进入系统模式*/[]dhcp enable /*开启dhcp服务*/[]dhcp snooping enable /*开启dhcp过滤功能*/-----------------------------------[]interface e0/0/0 /*进入e/0/0接口*/[]ip address /*为e0/0/0配置IP地址*/[]dhcp select global /*dhcp从全局获取*/[]quit /*退出*/-------------------------------------[]ip pool 1 /*创建地址池*/[ip-pool-1]gateway-list /*网关地址*/[ip-pool-1]network mask /*需要启用dhcp服务的网络*/[ip-pool-1]dns-list /*dns列表*/[ip-pool-1]excluded-ip-address /*不参与dhcp分配的ip地址范围*/[ip-pool-1]lease day 10 hour 0 minute 0 /*地址租用天数*/---------------------------------------/*至此路由器下面的所有端口即可通讯了,且根据自己的IP地址对接口下的IP 地址进行分配IP地址,如果接口比较多的时候可以重复配置以上过程即可* /。
DHCP Snooping Option 82配置举例
DHCP Snooping Option 82配置举例1 特性简介Option 82称为中继代理信息选项,该选项记录了DHCP client的位置信息。
DHCP snooping设备通过在DHCP请求报文中添加Option 82,将DHCP client的位置信息告诉给DHCP server,从而使得DHCP server能够为主机分配合适的IP地址和其他配置信息,并实现对客户端的安全和计费等控制。
2 应用场合图1 Option 82应用举例DHCP server通常根据请求报文中的giaddr或接收到请求报文的接口IP地址,为客户端分配IP地址。
在图1 中,DHCP服务器根据主机所在的网段,选取地址分配给Host A和Host B。
如果希望连接Ethernet1/2端口的客户端地址在某一范围,连接Ethernet1/3端口的客户端地址在另一范围,传统的地址分配方式是无法实现的。
利用Option 82,DHCP服务器根据客户端连接的DHCP snooping端口和giaddr地址来为客户端分配合适的IP地址,这样就可以满足上述需求。
Option 82能够标识不同的用户,服务器可以根据Option 82为不同的用户分配不同的IP地址,从而实现QoS、安全和计费的管理。
3 注意事项只有使能DHCP snooping功能之后,DHCP Option 82功能才能生效。
DHCP snooping不支持链路聚合。
若二层以太网接口加入聚合组,则该接口上进行的DHCP snooping配置不会生效;该接口退出聚合组后,之前的DHCP snooping配置才会生效。
设备只有位于DHCP客户端与DHCP服务器之间,或DHCP客户端与DHCP中继之间时,DHCP snooping功能配置后才能正常工作;设备位于DHCP服务器与DHCP中继之间时,DHCP snooping 功能配置后不能正常工作。
DHCP snooping option 82功能建议在最靠近DHCP client的snooping设备上使用,以达到精确定位用户位置的目的。
华为交换机DHCP snooping配置教程
华为交换机DHCP snooping配置教程DHCP Snooping是一种DHCP安全特性,在配置DHCP Snooping各安全功能之前需首先使能DHCP Snooping功能。
使能DHCP Snooping功能的顺序是先使能全局下的DHCP Snooping功能,再使能接口或VLAN下的DHCP Snooping功能。
图1 配置DHCP Snooping基本功能组网图如上图1所示,Switch_1是二层接入设备,将用户PC的DHCP请求转发给DHCP服务器。
以Switch_1为例,在使能DHCP Snooping功能时需要注意:使能DHCP Snooping功能之前,必须已使用命令dhcp enable使能了设备的DHCP功能。
全局使能DHCP Snooping功能后,还需要在连接用户的接口(如图中的接口if1、if2和if3)或其所属VLAN(如图中的VLAN 10)使能DHCP Snooping 功能。
当存在多个用户PC属于同一个VLAN时,为了简化配置,可以在这个VLAN 使能DHCP Snooping功能。
请在二层网络中的接入设备或第一个DHCP Relay上执行以下步骤。
1、使能DHCP Snooping功能[Huawei]dhcp snooping enable ?ipv4 DHCPv4 Snoopingipv6 DHCPv6 Snoopingvlan Virtual LAN<cr>或[Huawei]dhcp snooping over-vpls enable # 使能设备在VPLS网络中的DHCP Snooping功能或[Huawei-vlan2]dhcp snooping enable[Huawei-GigabitEthernet0/0/3]dhcp snooping enable2、配置接口信任状态[Huawei-GigabitEthernet0/0/2]dhcp snooping trusted或[Huawei-vlan3]dhcp snooping trusted interface GigabitEthernet 0/0/63、去使能DHCP Snooping用户位置迁移功能在移动应用场景中,若某一用户由接口A上线后,切换到接口B重新上线,用户将发送DHCP Discover报文申请IP地址。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
DHCP Snooping配置介绍DHCP Snooping的原理和配置方法,并给出配置举例。
配置DHCP Snooping的攻击防范功能示例组网需求如图9-13所示,SwitchA与SwitchB为接入设备,SwitchC为DHCP Relay。
Client1与Client2分别通过GE0/0/1与GE0/0/2接入SwitchA,Client3通过GE0/0/1接入SwitchB,其中Client1与Client3通过DHCP方式获取IPv4地址,而Client2使用静态配置的IPv4地址。
网络中存在非法用户的攻击导致合法用户不能正常获取IP地址,管理员希望能够防止网络中针对DHCP的攻击,为DHCP用户提供更优质的服务。
图9-13配置DHCP Snooping的攻击防范功能组网图配置思路采用如下的思路在SwitchC上进行配置。
1.使能DHCP Snooping功能并配置设备仅处理DHCPv4报文。
2.配置接口的信任状态,以保证客户端从合法的服务器获取IP地址。
3.使能ARP与DHCP Snooping的联动功能,保证DHCP用户在异常下线时实时更新绑定表。
4.使能根据DHCP Snooping绑定表生成接口的静态MAC表项功能,以防止非DHCP用户攻击。
5.使能对DHCP报文进行绑定表匹配检查的功能,防止仿冒DHCP报文攻击。
6.配置DHCP报文上送DHCP报文处理单元的最大允许速率,防止DHCP报文泛洪攻击。
7.配置允许接入的最大用户数以及使能检测DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段是否一致功能,防止DHCP Server服务拒绝攻击。
操作步骤1.使能DHCP Snooping功能。
# 使能全局DHCP Snooping功能并配置设备仅处理DHCPv4报文。
<HUAWEI> system-view[HUAWEI] sysname SwitchC[SwitchC] dhcp enable[SwitchC] dhcp snooping enable ipv4# 使能用户侧接口的DHCP Snooping功能。
以GE0/0/1接口为例,GE0/0/2的配置相同,此处省略。
[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] dhcp snooping enable[SwitchC-GigabitEthernet0/0/1] quit2.配置接口的信任状态:将连接DHCP Server的接口状态配置为“Trusted”。
3.[SwitchC] interface gigabitethernet 0/0/34.[SwitchC-GigabitEthernet0/0/3] dhcp snooping trusted[SwitchC-GigabitEthernet0/0/3] quit5.使能ARP与DHCP Snooping的联动功能。
[SwitchC] arp dhcp-snooping-detect enable6.使能根据DHCP Snooping绑定表生成接口的静态MAC表项功能。
# 在用户侧接口进行配置。
以GE0/0/1接口为例,GE0/0/2的配置相同,此处省略。
[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] dhcp snooping sticky-mac[SwitchC-GigabitEthernet0/0/1] quit7.使能对DHCP报文进行绑定表匹配检查的功能。
# 在用户侧接口进行配置。
以GE0/0/1接口为例,GE0/0/2的配置相同,此处省略。
[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] dhcp snooping check dhcp-request enable[SwitchC-GigabitEthernet0/0/1] quit8.配置DHCP报文上送DHCP报文处理单元的最大允许速率为90pps。
9.[SwitchC] dhcp snooping check dhcp-rate enable[SwitchC] dhcp snooping check dhcp-rate 9010.使能检测DHCP Request报文中GIADDR字段是否非零的功能。
# 在用户侧接口进行配置。
以GE0/0/1接口为例,GE0/0/2的配置相同,此处省略。
[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] dhcp snooping check dhcp-giaddr enable[SwitchC-GigabitEthernet0/0/1] quit11.配置接口允许接入的最大用户数并使能对CHADDR字段检查功能。
# 在用户侧接口进行配置。
以GE0/0/1接口为例,GE0/0/2的配置相同,此处省略。
[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] dhcp snooping max-user-number 20[SwitchC-GigabitEthernet0/0/1] dhcp snooping check dhcp-chaddr enable[SwitchC-GigabitEthernet0/0/1] quit12.配置丢弃报文告警和报文限速告警功能。
# 使能丢弃报文告警功能,并配置丢弃报文告警阈值。
以GE0/0/1接口为例,GE0/0/2的配置相同,此处省略。
[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-chaddr enable[SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-request enable[SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-reply enable[SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-chaddr threshold 120[SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-request threshold 120[SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-reply threshold 120[SwitchC-GigabitEthernet0/0/1] quit# 使能报文限速告警功能,并配置报文限速告警阈值。
[SwitchC] dhcp snooping alarm dhcp-rate enable[SwitchC] dhcp snooping alarm dhcp-rate threshold 50013.验证配置结果# 执行命令display dhcp snooping configuration查看DHCP Snooping的配置信息。
[SwitchC] display dhcp snooping configuration#dhcp snooping enable ipv4dhcp snooping check dhcp-rate enabledhcp snooping check dhcp-rate 90dhcp snooping alarm dhcp-rate enabledhcp snooping alarm dhcp-rate threshold 500arp dhcp-snooping-detect enable#interface GigabitEthernet0/0/1dhcp snooping enabledhcp snooping check dhcp-giaddr enabledhcp snooping check dhcp-request enabledhcp snooping alarm dhcp-request enabledhcp snooping alarm dhcp-request threshold 120dhcp snooping check dhcp-chaddr enabledhcp snooping alarm dhcp-chaddr enabledhcp snooping alarm dhcp-chaddr threshold 120dhcp snooping alarm dhcp-reply enabledhcp snooping alarm dhcp-reply threshold 120dhcp snooping max-user-number 20# interface GigabitEthernet0/0/2dhcp snooping enabledhcp snooping check dhcp-giaddr enabledhcp snooping check dhcp-request enabledhcp snooping alarm dhcp-request enabledhcp snooping alarm dhcp-request threshold 120dhcp snooping check dhcp-chaddr enabledhcp snooping alarm dhcp-chaddr enabledhcp snooping alarm dhcp-chaddr threshold 120dhcp snooping alarm dhcp-reply enabledhcp snooping alarm dhcp-reply threshold 120dhcp snooping max-user-number 20# interface GigabitEthernet0/0/3dhcp snooping trusted## 执行命令display dhcp snooping interface查看接口下的DHCP Snooping运行信息。