H3C-S5130 series
- 0关注
- 0收藏,35浏览
具体操作步骤:
1. 全局启用DHCP Snooping:
system-view
dhcp-snooping enable
2. 在用户业务VLAN(假设为VLAN 1,实际请替换为对应VLAN)启用DHCP Snooping:
vlan 1
dhcp-snooping enable
quit
3. 配置上联口G1/0/24为DHCP Snooping信任端口:
interface GigabitEthernet1/0/24
dhcp-snooping trust
quit
4. 可选增强配置(防DHCP报文攻击):
interface range GigabitEthernet1/0/1 to GigabitEthernet1/0/23
dhcp-snooping check dhcp-rate enable
dhcp-snooping check dhcp-rate 10 // 限制每秒10个DHCP报文,可按需调整
quit
说明:开启DHCP Snooping并配置信任端口后,非信任端口(用户口)收到DHCP服务器的Offer/ACK等报文会被丢弃,阻止私接路由器作为非法DHCP服务器分配地址,实现防私接。若私接路由器仅做二层转发(未开DHCP),需配合端口安全、ARP检测进一步管控。
4. 可选增强配置(防DHCP报文攻击): interface range GigabitEthernet1/0/1 to GigabitEthernet1/0/23 dhcp-snooping check dhcp-rate enable dhcp-snooping check dhcp-rate 10 // 限制每秒10个DHCP报文,可按需调整 quit这些是什么意思
直接在接入交换机上配置DHCP Snooping是防止私接路由器引发网络故障最直接有效的方法,确实能解决你提到的问题。
开启该功能并配置信任端口后,就能阻断非法DHCP服务器的干扰。你的组网中,上联口(G1/0/24)配置为信任端口,所有下联用户口保持默认的非信任状态即可。
快速配置步骤
1. 开启DHCP Snooping功能
在全局配置模式下执行以下命令开启功能:
dhcp enable命令,两者不冲突。2. 配置信任端口
进入上联口(如GigabitEthernet1/0/24)视图,将其设为信任端口,放行来自合法DHCP服务器的响应报文:
3. (可选)检查DHCP Snooping表项
执行display dhcp snooping binding命令可查看生成的DHCP Snooping绑定表,验证功能是否生效。
验证配置效果
查看全局状态:执行
display dhcp snooping命令,确认DHCP Snooping状态为Enabled。查看端口状态:执行
display dhcp snooping trust命令,确认GigabitEthernet1/0/24端口为Trusted。
原理与局限性
核心原理:DHCP Snooping的核心在于“信任”与“非信任”端口的划分。交换机将上联口设置为信任端口后,会放行来自该端口的DHCP响应报文;而所有下联口默认为非信任端口,会丢弃收到的DHCP响应报文,从而阻断私接路由器向下游客户端分配非法IP地址。
局限性说明:该方案旨在解决“私接路由器开启DHCP导致内网地址分配混乱”的问题。但需注意:
无法防止私接交换机:若用户私接的是普通交换机,该功能无法感知或阻止,因为交换机不会发送DHCP报文。
无法完全杜绝地址冲突:若用户手动将私接路由器的LAN口IP设置为与网络内合法IP相同,依然可能引发IP地址冲突。
无法防御二层环路:私接路由器时若接线错误(如将路由器LAN口同时连接交换机两个端口),可能造成环路,需配合STP(生成树协议)等机制防范。
对非DHCP环境无效:若用户终端使用静态IP地址上网,DHCP Snooping无法起到防护作用。
进阶方案:多层次防护
如需实现更严格的管控,可考虑以下进阶方案:
| 安全策略 | 核心作用 | 进阶价值 |
|---|---|---|
| 端口安全 (Port Security) | 限制端口学习的MAC地址数量,发现超出数量(如私接路由器)时立即关闭端口。 | 弥补DHCP Snooping无法防止私接交换机的短板。 |
| IP Source Guard | 基于DHCP Snooping绑定表,在端口上过滤非法IP/MAC地址的报文,防止IP/MAC欺骗。 | 在DHCP Snooping基础上提升接入安全性,防止静态IP接入和地址仿冒。 |
| ARP Detection (DAI) | 在VLAN内开启后,依据DHCP Snooping绑定表校验ARP报文,防止ARP欺骗攻击。 | 在网络层进一步提升安全性,抵御中间人攻击。 |
| 802.1X认证 | 要求终端通过用户名/密码或证书认证后才能接入网络。 | 实现基于用户身份的精细网络准入控制,安全性最高。 |
| 网络扫描与监控 | 定期扫描网络,发现私接的DHCP服务、IP地址冲突等异常并快速定位。 | 增强主动防御能力,及时发现和消除网络隐患。 |
一、最简可用方案(只防私路由乱分配 IP)
1. 全局开启
system-view
dhcp snooping enable
2. 上联口设为信任口(必须做)
interface GigabitEthernet1/0/24
dhcp snooping trust
3. 所有用户口开启(批量配置)
interface range GigabitEthernet1/0/1 to GigabitEthernet1/0/23
dhcp snooping enable
4. 可选:开启检查(防止私接伪装)
dhcp snooping check mac-address enable
dhcp snooping check request vlan enable
二、真正彻底防私接(推荐完整版)
- 私路由当交换机用(关闭 DHCP 也能上网)
- 私接 AP、私接小交换机
- ARP 欺骗、IP 冲突
完整配置(直接复制)
system-view
# 1. DHCP Snooping
dhcp snooping enable
dhcp snooping check mac-address enable
dhcp snooping check request vlan enable
# 2. IPSG 防私自改IP/私接设备
ip source guard enable
dhcp snooping binding record enable
# 3. DAI 防ARP欺骗
arp detection enable
arp detection validate dst-mac src-mac ip
# 4. 上联口信任
interface GigabitEthernet1/0/24
dhcp snooping trust
arp detection trust
ip source guard trust-port
# 5. 所有用户口批量启用
interface range GigabitEthernet1/0/1 to GigabitEthernet1/0/23
dhcp snooping enable
ip source check user-bind enable
arp detection enable
port-security intrusion-mode disableport-temporarily
三、效果说明
- 只开 DHCP Snooping
- 能防:私路由开 DHCP 导致用户获取错误网关
- 不能防:私路由关 DHCP 当交换机用
- 开 DHCP Snooping + IPSG + DAI(完整版)
- 私接路由器 → 不能上网
- 私接小交换机 → 不能上网
- 私自改静态 IP → 不能上网
- ARP 攻击、IP 冲突 → 全部拦截
四、验证是否生效
display dhcp snooping
display dhcp snooping binding
display arp detection
display ip source guard编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
4. 可选增强配置(防DHCP报文攻击): interface range GigabitEthernet1/0/1 to GigabitEthernet1/0/23 dhcp-snooping check dhcp-rate enable dhcp-snooping check dhcp-rate 10 // 限制每秒10个DHCP报文,可按需调整 quit这些是什么意思