ICG3000 本机做 DHCP Server + DHCP Snooping 完整配置
场景说明
ICG3000 三层网关,Vlan-interface1 作为网关 + DHCP 地址池,PC 直连设备 LAN 二层口;
DHCP Snooping 核心逻辑:本机自身是合法 DHCP 服务器,所有内网物理端口均为非信任口,拦截内网私接路由器 / 非法 DHCP 下发 OFFER/ACK。
一、前置基础(你已配置,对照确认)
plaintext
system-view
# 全局开启DHCP
dhcp enable
# 创建地址池,绑定Vlanif1
dhcp server ip-pool lan1
network 192.168.1.0 mask 255.255.255.0
gateway-list 192.168.1.1
dns-list 223.5.5.5
lease day 3
quit
interface Vlan-interface 1
ip address 192.168.1.1 255.255.255.0
dhcp select global
quit
# 内网端口二层模式划入VLAN1
interface GigabitEthernet 0/0/1 to 0/0/8
port link-mode bridge
port access vlan 1
undo shutdown
quit
二、DHCP Snooping 完整配置(关键)
1. 全局开启 DHCP Snooping
plaintext
# 全局使能DHCP Snooping
dhcp snooping enable ipv4
# 开启非法DHCP服务器告警
dhcp snooping alarm dhcp-reply enable
# 可选:绑定表持久化,重启不丢失表项
dhcp snooping binding database filename dhcp-snooping.txt
2. 在业务 VLAN1 开启 Snooping(二层报文管控)
plaintext
vlan 1
dhcp snooping enable
quit
3. 重点:本机 DHCP 无需物理 trust 口,不用配 dhcp snooping trust
常规交换机场景是上联口做 trust;
ICG 本机充当 DHCP 服务器,三层 Vlanif 自身下发 DHCP 响应,不需要把内网端口设为 trust。
所有接入 PC 的物理口保持默认非信任 Untrusted,内网任何终端发出 DHCP OFFER/ACK 直接丢弃。
4. 内网接入端口优化(全部 LAN 口统一配置)
plaintext
interface GigabitEthernet 0/0/1 to 0/0/8
# 记录DHCP绑定表(IP/MAC/端口),配合DAI/IPSG使用
dhcp snooping binding record
# 开启Option82(可选,定位接入端口)
dhcp snooping information enable
# 限制端口DHCP报文速率,防攻击
dhcp snooping rate-limit 10
quit
三、可选配套安全(推荐一并开启)
1. DAI 动态 ARP 检测(依托 DHCP Snooping 绑定表防 ARP 欺骗)
plaintext
vlan 1
arp detection enable
quit
# 上联/出口三层口设为ARP信任,内网口默认非信任
interface Vlan-interface 1
arp detection trust
quit
2. IPSG 源 IP 防护(仅允许 DHCP 分配的 IP 上网)
plaintext
interface GigabitEthernet 0/0/1 to 0/0/8
ip source guard enable static
quit
四、校验查看命令
plaintext
# 查看DHCP Snooping全局配置
display dhcp snooping configuration
# 查看VLAN内Snooping状态
display dhcp snooping vlan 1
# 查看终端IP-MAC绑定表
display dhcp snooping user-bind all
# 查看非法DHCP告警统计
display dhcp snooping packet statistics
五、常见踩坑点
不要在内网 LAN 口配置 dhcp snooping trust
一旦配置,内网私接路由器就能下发 IP,Snooping 失效。本机三层 Vlanif 下发 DHCP 响应不受端口 trust 控制。
仅全局开 dhcp snooping enable,没在 vlan1 下使能,功能不生效。
端口 port link-mode route 三层口不支持 DHCP Snooping,接入终端必须 bridge 二层模式。
若 PC 获取 IP 失败:排查端口是否误配 trust、全局 dhcp 是否开启、地址池网段与 Vlanif 匹配。
最简完整可下发配置汇总
plaintext
system-view
dhcp enable
dhcp snooping enable ipv4
dhcp snooping alarm dhcp-reply enable
dhcp snooping binding database filename dhcp-snooping.txt
dhcp server ip-pool lan1
network 192.168.1.0 mask 255.255.255.0
gateway-list 192.168.1.1
dns-list 223.5.5.5
lease day 3
quit
vlan 1
dhcp snooping enable
arp detection enable
quit
interface Vlan-interface 1
ip address 192.168.1.1 255.255.255.0
dhcp select global
arp detection trust
quit
interface GigabitEthernet 0/0/1 to 0/0/8
port link-mode bridge
port access vlan 1
dhcp snooping binding record
dhcp snooping information enable
dhcp snooping rate-limit 10
ip source guard enable static
undo shutdown
quit
暂无评论
ICG3000作为DHCP服务器时,配置DHCP Snooping的思路和交换机不同。你不需要在ICG3000上“启用”DHCP Snooping来保护自己,因为信任的DHCP服务器就是它本身。
DHCP Snooping是一种部署在接入层交换机上的安全功能,它通过将端口设置为“信任”或“非信任”来工作,其作用是防止网络中私接的、非法的DHCP服务器。
因此,你的配置重心不在于ICG3000本身,而在于它下联的接入交换机。你需要:
在接入交换机上全局开启DHCP Snooping。
将连接ICG3000(合法DHCP服务器)的交换机端口设置为“信任端口”。只有信任端口才能接收和转发DHCP响应,从而确保只有ICG3000的DHCP服务有效。
将连接终端(PC等)的交换机端口设置为“非信任端口”。这是默认状态,无需额外配置。
假设接入交换机为H3C系列,连接ICG3000的端口为GigabitEthernet1/0/1,连接PC的端口为GigabitEthernet1/0/2。
进入系统视图
全局开启DHCP Snooping功能
配置上联口(连接ICG3000)为信任端口
这一步是关键,必须将连接合法DHCP服务器的端口设为信任。
(可选)在指定VLAN启用DHCP Snooping
如果你只在特定VLAN需要此功能,可以配置:
其中 vlan-id 是你的业务VLAN编号。如果未指定,则默认在所有VLAN生效。
(可选)开启源MAC地址校验
为进一步增强安全,可在全局开启此功能:
这能防止MAC地址欺骗。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论