我在2010年8月的时候,在陕西某化工集团做了一个园区网的项目,记得当时整个园区的大的架构做完以后,甲方要求,宿舍楼的网络要求做出更改,由原来的静态的分配ip地址变更为DHCP自动获取。
其实此次变更还是蛮顺利的,在将核心交换机上配置了DHCP的服务之后,3栋公寓楼的vlan101-106总共6个vlan,大部分计算机都可以正常获取到ip地址正常上网了,在vlan101中,计算机数量并不多,该vlan提供的dhcp pool 是10.20.101.0,正常情况下,该vlan的所有计算机,获取到的ip地址应该是10.20.101.x地址。有用户反映说,计算机获取到地址,但是不能上网。
当时我很纳闷,把自己的笔记本电脑,接入到属于vlan101的接口上,看到获取到的地址后,我乐了,我获取到了192.168.1.101的ip地址,一开始我还考虑过,应该使用sniffer抓包工具,抓取下,是谁在发送DHCP的报文,影响到了交换机的dhcp的服务,后来打消了这个念头。很显然,不用测试,只去看192.168.1.101这个ip地址,就不难想到,这个地址是平常我们家用的soho的路由器提供的地址,可能是某个宿舍的哥们儿,因为宿舍信息口不够用,自己私自接了个小路由器,当交换机用,他哪里知道,影响了整个vlan的DHCP的服务。
如图:
懒得去管到底是哪个宿舍的兄弟影响了网络的dhcp的正常服务。
配置DHCP Snooping
DHCP监听(DHCP Snooping)是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性,交换机能够拦截第二层VLAN域内的所有DHCP报文。
    DHCP监听将交换机端口划分为两类:
●非信任端口:通常为连接终端设备的端口,如PC,网络打印机等
    ●信任端口:连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口
    通过开启DHCP监听特性,交换机限制用户端口(非信任端口)只能够发送DHCP请求,丢弃来自用户端口的所有其它DHCP报文,
 我对接入交换机进行了如下配置:
Switch(config)#ip dhcp snooping                  //打开DHCP Snooping功能
Switch(config)#ip dhcp snooping vlan 10                  //设置DHCP Snooping功能将作用于哪些VLAN
做了以上配置以后,打开了交换机得dhcp snooping 功能,则所有接口默认状态下,变成了untrust端口,即非信任接口,只能够通过dhcp的请求报文,但是不能通过dhcp的其他报文,例如dhcp的offer报文。这样就能够在图中的G0/3口拒绝了来自soho路由器的DHCP的offer报文。
如果此时你接入一台笔记本上满怀信心的去获取ip地址,那你就会发现,pc是根本无法获取到ip地址的,因为进行了以上的配置以后,所有的接口默认都会把dhcp的offer的报文拒绝掉,包括和核心交换机连接的G0/24口,还需要进行以下配置
Config t
Int G0/24
IP dhcp snooping trust      将该接口设置为信任接口,开始正常接收dhcp的报文
此时电脑可以正确的获取到ip地址,正常上网了。

转载于:https://blog.51cto.com/chenpengpeng/564356

使用交换机的dhcp snooping拒绝非法dhcp服务相关推荐

  1. dhcp snooping华为_使用DHCP snooping 功能防止DHCP Server仿冒者攻击(华为交换机)

    在全局视图和VLAN视图下使能DHCP Snooping. [Quidway]dhcp enable [Quidway]dhcp snooping enable [Quidway]vlan 11 [Q ...

  2. DHCP欺骗泛洪攻击、如何防御DHCP欺骗攻击——DHCP snooping技术、DHCP snooping配置命令

    目录 一.DHCP欺骗泛洪攻击 (1)钓鱼网站简介: (2)DNS的作用: (3)DHCP中继技术简介: (3-1)核心交换机DHCP配置命令: (4)dhcp欺骗详解: 第一步:pc2作为恶意攻击者 ...

  3. DHCP Snooping IPSG

    祸兮福所倚,福兮祸所伏. 文章目录 一.DHCP 二.拓扑 三.基础配置 四.策略配置 五.DHCP中继 六.DHCP Snooping 一.DHCP Dynamic Host Configurati ...

  4. H3C交换机DHCP Snooping抑制局域网内非法dhcp

    我单位有华三交换机共39台,一种核心交换机s5750-2台,ap交换机s5130-5台,楼层有线(网线)电脑交换机s5130-32台.由其中一台核心交换机做dhcp服务器,通过光纤连接所有s5130交 ...

  5. 华为交换机DHCP snooping

    配置思路 1.使能DHCP Snooping功能. 2.配置接口的信任状态,以保证客户端从合法的服务器获取IP地址. 3.使能ARP与DHCPSnooping的联动功能,保证DHCP用户在异常下线时实 ...

  6. (五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)...

    试验拓扑 环境:dhcp server和dhcp客户端属于同vlan,但是客户端属于不同的交换机,在L2和L3交换机开启dhcp snooping后得出如下结论 L3交换机的配置 ip dhcp po ...

  7. 【以太网交换安全】--- 交换机流量控制/DHCP Snooping/IP Source Guard

    文章目录 前言 一.交换机流量背景 二.交换机流量控制两种实现方式 2.1 流量抑制(超出部分丢弃) 2.2 风暴控制(对有超出部分报文进行阻塞) 三.DHCP Snooping概述及实现原理 3.1 ...

  8. dhcp snooping华为_华为交换机DHCP snooping

    配置思路 1.使能DHCP Snooping功能. 2.配置接口的信任状态,以保证客户端从合法的服务器获取IP地址. 3.使能ARP与DHCPSnooping的联动功能,保证DHCP用户在异常下线时实 ...

  9. DHCP DHCP Snooping

    一.DHCP DHCP中继代理原理 问题: -当客户机和DHCP服务器不在一个广播域时,DHCP服务器无法接收到客户机的DHCP discover广播数据包,客户机就无法获得IP地址: 解决: -在客 ...

最新文章

  1. 【NIO】Selector
  2. Linux下安装php环境并且配置Nginx支持php-fpm模块
  3. 《数据结构》知识点Day_02
  4. android客户端访问服务端,服务端返回json数据
  5. python无参数装饰器_python_之无参装饰器_01
  6. Program terminated with signal SIGSEGV, Segmentation fault.
  7. centos6.5 MySQL 服务器_启用CentOS6.5 64位安装时自带的MySQL数据库服务器
  8. Mac截图高端操作,这些技巧你绝对不知道!
  9. phpcmsV9站群去除域名绑定目录中的HTML的方法
  10. (32)FPGA面试技能提升篇(EMMC)
  11. 022 - cocos creator 3D
  12. Redis入门之Redis安装、配置及常用指令
  13. 软工课设第一周周四报告
  14. PPT快速成长经验,我将其免费告诉你
  15. 【C语言开源库】lw_oopc:轻量级的C语言面向对象编程框架
  16. 华为 MA5800设备防盗
  17. h5活动是什么意思_H5活动页能给你带来什么?
  18. 2020牛客寒假算法基础集训营3——J.牛牛的宝可梦Go【最短路 DP(01背包) 复杂度优化】(附优化分析)
  19. visio设置页元素组
  20. 国内知名的家电与家居调查研究咨询公司

热门文章

  1. .OCX、.dll文件注册命令Regsvr32的使用
  2. Yii学习笔记:利用setFlash和runController打造个性化的提示信息页面
  3. 《程序员修炼之道》读感
  4. 普通幕僚:Ownership意识不足的几种症状
  5. Tungsten Fabric SDN — Overviw
  6. 如何实现示波器探头的最佳匹配?
  7. Altium Designer PCB布线只显示单层
  8. form 提交多个对象及springMVC接收
  9. debian7get源,自动设置get源
  10. MySQL学习之路:多实例无法启动排错