DHCP-snooping的原理、配置、案例
DHCP监听被开启后,交换机限制用户端口(非信任端口)只能够发送DHCP请求,丢弃来自用户端口的所有其它DHCP报文。DHCP-snooping还有一个非常重要的作用就是建立一张DHCP监听绑定表,既然DHCP-snooping这么重要,那么让我们来看看他是怎么样配置的!
案例需求
1.PC可以从指定DHCP Server获取到IP地址;
2.防止其他非法的DHCP Server影响网络中的主机。
网络拓扑:
DHCP Snooping配置步骤
<H3C>system-view //进入系统视图
[H3C]dhcp-snooping //全局使能dhcp-snooping功能
[H3C] interface Ethernet 1/0/2 //进入端口E1/0/2
[H3C-Ethernet1/0/2]dhcp-snooping trust //将端口E1/0/2配置为trust端口
DHCP Snooping配置关键点(原理)
1.当交换机开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCPOffer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址;
2.由于DHCP服务器提供给用户包含了服务器分配给用户的IP地址的报文―“dhcp offer”报文,由E1/0/2端口进入交换机并进行转发,因此需要将端口E1/0/2配置为“trust”端口。
如果交换机上行接口配置为Trunk 端口,并且连接到DHCP中继设备,也需要将上行端口配置为“trust”端口。案例如下:
H3C开启了dhcp-snooping后客户端获取不到ip地址的解决方案
网络拓扑:
一般的网络结构是dhcp-server放在核心交换机H3C5500上面,但是有时候特殊原因,dhcp-server服务器必须接在H3C3110的2层交换机上面,同时企业内部为了防止员工私自接入非法的dhcp-server又必须在接入层交换机3110上面开启dhcp-snooping功能。那么问题来了,一旦3110上面开启dhcp-snooping后,所有用户就会获取不到ip地址。解决方案有2个:
方案一:dhcp-server如接到3层的5500核心交换机,在5500和3110互联的trunk口上加上dhcp-snooping trust no-user-binding 。
方案二:dhcp-server如接在2层3110的接入交换机,在dhcp-server连接的交换机将端口配置为“trust”端口。
具体配置如下:
方案一:
5500:
【5500】dhcp-snooping
[5500]interface bridge-aggregation 1
[5500-interface bridge-aggregation 1]dhcp-snooping trust no-user-binding
3110:
[3110]dhcp-snooping
[3110]interface bridge-aggrration 1
[3110-bridge-aggrration 1]dhcp-snooping trust no-user-binding
方案二:
[3110]dhcp-snooping
[3110]interface ethernet 1/0/4
[3110-ethernet1/0/4]dhcp-snooping trust
如果2层和3层的设备都是思科的设备的话,就不需要这么麻烦,直接设置ip dhcp snooping和ip dhcp snooping trust就可以了。
DHCP-snooping的原理、配置、案例相关推荐
- 华为设备DHCP snooping配置命令
[Huawei]dhcp snooping enable //全局使能DHCP Snooping功能 [Huawei]dhcp snooping enable vlan 10 //使能DHCP Sno ...
- 华为DHCP SNOOPING配置
配置思路 1.使能DHCP Snooping功能. 2.配置接口的信任状态,以保证客户端从合法的服务器获取IP地址. 3.使能ARP与DHCPSnooping的联动功能,保证DHCP用户在异常下线时实 ...
- IP安全讲解(DHCP Snooping、IPSG、DAI)
目录 DHCP Snooping 与DHCP Snooping联动技术 IP源防攻击技术(IPSG) 动态ARP检测技术(DAI) 配置DHCP Snooping DHCP Snooping DHCP ...
- DHCP的防御机制——DHCP Snooping(DHCP监听)
这里写目录标题 DHCP Snooping(DHCP监听)简介 好处 DHCP Snooping原理描述 信任端口功能 DHCP监听表 DHCP 攻击及其防范 DHCP Server仿冒者攻击 攻击原 ...
- DHCP DHCP Snooping
一.DHCP DHCP中继代理原理 问题: -当客户机和DHCP服务器不在一个广播域时,DHCP服务器无法接收到客户机的DHCP discover广播数据包,客户机就无法获得IP地址: 解决: -在客 ...
- ip dhcp snooping的设置
对于DHCP我们这次主要讲解的是ip dhcp snooping的设置.通过文章的内容.大家能够对此有一个全面的掌握. 我们学习网络协议的内容已经不少了,对于DHCP来说,也接触了不少.那么接下来我们 ...
- dhcp snooping华为_华为交换机DHCP snooping
配置思路 1.使能DHCP Snooping功能. 2.配置接口的信任状态,以保证客户端从合法的服务器获取IP地址. 3.使能ARP与DHCPSnooping的联动功能,保证DHCP用户在异常下线时实 ...
- DHCP snooping
DHCP snooping基本功能简介: DHCP snooping是DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)的一种安全特性,主要具有如下两 ...
- DHCP Snooping应用
DHCP Snooping技术主要用于DHCP Server仿冒者攻击.DHCP报文泛洪攻击.仿冒DHCP报文攻击和DHCP Server服务拒绝攻击四个场景的DHCP攻击防范,以抵御网络中针对DH ...
- 华为交换机DHCP snooping
配置思路 1.使能DHCP Snooping功能. 2.配置接口的信任状态,以保证客户端从合法的服务器获取IP地址. 3.使能ARP与DHCPSnooping的联动功能,保证DHCP用户在异常下线时实 ...
最新文章
- 轻松学Pytorch-使用卷积神经网络实现图像分类
- vue邪道玩法 : 把vue实例存在别的地方,以及可能会遇到的问题
- 如何根据事物代码查找相应BAPI
- JAVA——Scanner读取文件
- epoll用法整理 实现回声服务端
- 谷歌这波操作,预警了什么信号??
- 安全模式下修复电脑故障
- UE3 供游戏性程序员的使用的性能最优化方法
- ansible之cron模块
- abort has been called翻译_小分享:一款优秀的你还不知道的免费翻译工具推荐给大家...
- 视频教程-汇编语言程序设计IV-其他
- fedora mysql安装教程,Fedora 14 上MySQL的安装及使用
- 百度地图和百度导航冲突问题
- 用友U9 BOM全阶展开 代码如下
- 正则表达式在线测试一
- 在手机开发中常用的数据库是什么?
- 烦人的警告 libpng warning: iCCP: known incorrect sRGB profile
- 安装blockchain-explorer区块浏览器
- 大学物理简明教程第三版修订版课后习题详解
- cpu软改vista 驱动_在Vista Service Pack 1中为所有驱动器设置自动碎片整理选项