华为DHCP-Snooping配置实例

上传人:二*** 文档编号:143909626 上传时间:2022-08-26 格式:DOCX 页数:7 大小:43.17KB
收藏 版权申诉 举报 下载
华为DHCP-Snooping配置实例_第1页
第1页 / 共7页
华为DHCP-Snooping配置实例_第2页
第2页 / 共7页
华为DHCP-Snooping配置实例_第3页
第3页 / 共7页
资源描述:

《华为DHCP-Snooping配置实例》由会员分享,可在线阅读,更多相关《华为DHCP-Snooping配置实例(7页珍藏版)》请在装配图网上搜索。

1、DHCP Snooping配置介绍DHCP Snooping的原理和配置方法,并给出配置举例。配置DHCP Snooping的攻击防范功能示例组网需求如图9-13所示,SwitchA与SwitchB为接入设备,SwitchC为DHCP Relay。Client1与Client2分别通过GE0/0/1与GE0/0/2接入SwitchA,Client3通过GE0/0/1接入SwitchB,其中Client1与Client3通过DHCP方式获取IPv4地址,而Client2使用静态配置的IPv4地址。网络中存在非法用户的攻击导致合法用户不能正常获取IP地址,管理员希望能够防止网络中针对DHCP的攻击

2、,为DHCP用户提供更优质的服务。图9-13 配置DHCP Snooping的攻击防范功能组网图 配置思路采用如下的思路在SwitchC上进行配置。1. 使能DHCP Snooping功能并配置设备仅处理DHCPv4报文。 2. 配置接口的信任状态,以保证客户端从合法的服务器获取IP地址。 3. 使能ARP与DHCP Snooping的联动功能,保证DHCP用户在异常下线时实时更新绑定表。 4. 使能根据DHCP Snooping绑定表生成接口的静态MAC表项功能,以防止非DHCP用户攻击。 5. 使能对DHCP报文进行绑定表匹配检查的功能,防止仿冒DHCP报文攻击。 6. 配置DHCP报文上

3、送DHCP报文处理单元的最大允许速率,防止DHCP报文泛洪攻击。 7. 配置允许接入的最大用户数以及使能检测DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段是否一致功能,防止DHCP Server服务拒绝攻击。 操作步骤1. 使能DHCP Snooping功能。 # 使能全局DHCP Snooping功能并配置设备仅处理DHCPv4报文。 system-viewHUAWEI sysname SwitchCSwitchC dhcp enableSwitchC dhcp snooping enable ipv4# 使能用户侧接口的DHCP Snooping功能。以GE0/0

4、/1接口为例,GE0/0/2的配置相同,此处省略。SwitchC interface gigabitethernet 0/0/1SwitchC-GigabitEthernet0/0/1 dhcp snooping enableSwitchC-GigabitEthernet0/0/1 quit2. 配置接口的信任状态:将连接DHCP Server的接口状态配置为“Trusted”。 3. SwitchC interface gigabitethernet 0/0/34. SwitchC-GigabitEthernet0/0/3 dhcp snooping trustedSwitchC-Gigab

5、itEthernet0/0/3 quit5. 使能ARP与DHCP Snooping的联动功能。 SwitchC arp dhcp-snooping-detect enable6. 使能根据DHCP Snooping绑定表生成接口的静态MAC表项功能。 # 在用户侧接口进行配置。以GE0/0/1接口为例,GE0/0/2的配置相同,此处省略。SwitchC interface gigabitethernet 0/0/1SwitchC-GigabitEthernet0/0/1 dhcp snooping sticky-macSwitchC-GigabitEthernet0/0/1 quit7. 使

6、能对DHCP报文进行绑定表匹配检查的功能。 # 在用户侧接口进行配置。以GE0/0/1接口为例,GE0/0/2的配置相同,此处省略。SwitchC interface gigabitethernet 0/0/1SwitchC-GigabitEthernet0/0/1 dhcp snooping check dhcp-request enableSwitchC-GigabitEthernet0/0/1 quit8. 配置DHCP报文上送DHCP报文处理单元的最大允许速率为90pps。 9. SwitchC dhcp snooping check dhcp-rate enableSwitchC d

7、hcp snooping check dhcp-rate 9010. 使能检测DHCP Request报文中GIADDR字段是否非零的功能。 # 在用户侧接口进行配置。以GE0/0/1接口为例,GE0/0/2的配置相同,此处省略。SwitchC interface gigabitethernet 0/0/1SwitchC-GigabitEthernet0/0/1 dhcp snooping check dhcp-giaddr enableSwitchC-GigabitEthernet0/0/1 quit11. 配置接口允许接入的最大用户数并使能对CHADDR字段检查功能。 # 在用户侧接口进行

8、配置。以GE0/0/1接口为例,GE0/0/2的配置相同,此处省略。SwitchC interface gigabitethernet 0/0/1SwitchC-GigabitEthernet0/0/1 dhcp snooping max-user-number 20SwitchC-GigabitEthernet0/0/1 dhcp snooping check dhcp-chaddr enableSwitchC-GigabitEthernet0/0/1 quit12. 配置丢弃报文告警和报文限速告警功能。 # 使能丢弃报文告警功能,并配置丢弃报文告警阈值。以GE0/0/1接口为例,GE0/0

9、/2的配置相同,此处省略。SwitchC interface gigabitethernet 0/0/1SwitchC-GigabitEthernet0/0/1 dhcp snooping alarm dhcp-chaddr enableSwitchC-GigabitEthernet0/0/1 dhcp snooping alarm dhcp-request enableSwitchC-GigabitEthernet0/0/1 dhcp snooping alarm dhcp-reply enableSwitchC-GigabitEthernet0/0/1 dhcp snooping alar

10、m dhcp-chaddr threshold 120SwitchC-GigabitEthernet0/0/1 dhcp snooping alarm dhcp-request threshold 120SwitchC-GigabitEthernet0/0/1 dhcp snooping alarm dhcp-reply threshold 120SwitchC-GigabitEthernet0/0/1 quit# 使能报文限速告警功能,并配置报文限速告警阈值。SwitchC dhcp snooping alarm dhcp-rate enableSwitchC dhcp snooping a

11、larm dhcp-rate threshold 50013. 验证配置结果 # 执行命令display dhcp snooping configuration查看DHCP Snooping的配置信息。SwitchC display dhcp snooping configuration# dhcp snooping enable ipv4 dhcp snooping check dhcp-rate enable dhcp snooping check dhcp-rate 90 dhcp snooping alarm dhcp-rate enable dhcp snooping alarm d

12、hcp-rate threshold 500 arp dhcp-snooping-detect enable # interface GigabitEthernet0/0/1 dhcp snooping enable dhcp snooping check dhcp-giaddr enable dhcp snooping check dhcp-request enable dhcp snooping alarm dhcp-request enable dhcp snooping alarm dhcp-request threshold 120 dhcp snooping check dhcp-

13、chaddr enable dhcp snooping alarm dhcp-chaddr enable dhcp snooping alarm dhcp-chaddr threshold 120 dhcp snooping alarm dhcp-reply enable dhcp snooping alarm dhcp-reply threshold 120 dhcp snooping max-user-number 20# interface GigabitEthernet0/0/2 dhcp snooping enable dhcp snooping check dhcp-giaddr

14、enable dhcp snooping check dhcp-request enable dhcp snooping alarm dhcp-request enable dhcp snooping alarm dhcp-request threshold 120 dhcp snooping check dhcp-chaddr enable dhcp snooping alarm dhcp-chaddr enable dhcp snooping alarm dhcp-chaddr threshold 120 dhcp snooping alarm dhcp-reply enable dhcp

15、 snooping alarm dhcp-reply threshold 120 dhcp snooping max-user-number 20# interface GigabitEthernet0/0/3 dhcp snooping trusted # # 执行命令display dhcp snooping interface查看接口下的DHCP Snooping运行信息。SwitchC display dhcp snooping interface gigabitethernet 0/0/1 DHCP snooping running information for interface

16、 GigabitEthernet0/0/1 : DHCP snooping : Enable Trusted interface : No Dhcp user max number : 20 Current dhcp and nd user number : 0 Check dhcp-giaddr : Enable Check dhcp-chaddr : Enable Alarm dhcp-chaddr : Enable Alarm dhcp-chaddr threshold : 120 Discarded dhcp packets for check chaddr : 0 Check dhc

17、p-request : Enable Alarm dhcp-request : Enable Alarm dhcp-request threshold : 120 Discarded dhcp packets for check request : 0 Check dhcp-rate : Disable (default) Alarm dhcp-rate : Disable (default) Alarm dhcp-rate threshold : 500 Discarded dhcp packets for rate limit : 0 Alarm dhcp-reply : Enable A

18、larm dhcp-reply threshold : 120 Discarded dhcp packets for check reply : 0 SwitchC display dhcp snooping interface gigabitethernet 0/0/3 DHCP snooping running information for interface GigabitEthernet0/0/3 : DHCP snooping : Disable (default) Trusted interface : Yes Dhcp user max number : 1024 (defau

19、lt) Current dhcp and nd user number : 0 Check dhcp-giaddr : Disable (default) Check dhcp-chaddr : Disable (default) Alarm dhcp-chaddr : Disable (default) Check dhcp-request : Disable (default) Alarm dhcp-request : Disable (default) Check dhcp-rate : Disable (default) Alarm dhcp-rate : Disable (defau

20、lt) Alarm dhcp-rate threshold : 500 Discarded dhcp packets for rate limit : 0 Alarm dhcp-reply : Disable (default) 配置文件# SwitchC的配置文件# sysname SwitchC# dhcp enable # dhcp snooping enable ipv4 dhcp snooping check dhcp-rate enable dhcp snooping check dhcp-rate 90 dhcp snooping alarm dhcp-rate enable d

21、hcp snooping alarm dhcp-rate threshold 500 arp dhcp-snooping-detect enable #interface GigabitEthernet0/0/1 dhcp snooping sticky-mac dhcp snooping enable dhcp snooping check dhcp-giaddr enable dhcp snooping check dhcp-request enable dhcp snooping alarm dhcp-request enable dhcp snooping alarm dhcp-req

22、uest threshold 120 dhcp snooping check dhcp-chaddr enable dhcp snooping alarm dhcp-chaddr enable dhcp snooping alarm dhcp-chaddr threshold 120 dhcp snooping alarm dhcp-reply enable dhcp snooping alarm dhcp-reply threshold 120 dhcp snooping max-user-number 20 #interface GigabitEthernet0/0/2 dhcp snoo

23、ping sticky-mac dhcp snooping enable dhcp snooping check dhcp-request enable dhcp snooping alarm dhcp-request enable dhcp snooping alarm dhcp-request threshold 120 dhcp snooping check dhcp-chaddr enable dhcp snooping alarm dhcp-chaddr enable dhcp snooping alarm dhcp-chaddr threshold 120 dhcp snooping alarm dhcp-reply enable dhcp snooping alarm dhcp-reply threshold 120 dhcp snooping max-user-number 20 #interface GigabitEthernet0/0/3 dhcp snooping trusted#return

展开阅读全文
温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!