• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

ICG3000设备本身作为DHCP SERVER,ICG3000如何启用DHCP SNOOP

1天前提问
  • 0关注
  • 0收藏,43浏览
粉丝:0人 关注:0人

问题描述:

ICG3000设备本身作为DHCP SERVER,开启 dhcp enable,interface Vlan-interface1应用地址池,PC连在icg3000物理端口下,如何设置DHCP SNOOP?

3 个回答
粉丝:133人 关注:11人

本身不需要设置,对端设备配置

暂无评论

粉丝:23人 关注:2人

ICG3000 本机做 DHCP Server + DHCP Snooping 完整配置
场景说明
ICG3000 三层网关,Vlan-interface1 作为网关 + DHCP 地址池,PC 直连设备 LAN 二层口;
DHCP Snooping 核心逻辑:本机自身是合法 DHCP 服务器,所有内网物理端口均为非信任口,拦截内网私接路由器 / 非法 DHCP 下发 OFFER/ACK。
一、前置基础(你已配置,对照确认)
plaintext
system-view
# 全局开启DHCP
dhcp enable
# 创建地址池,绑定Vlanif1
dhcp server ip-pool lan1
network 192.168.1.0 mask 255.255.255.0
gateway-list 192.168.1.1
dns-list 223.5.5.5
lease day 3
quit
interface Vlan-interface 1
ip address 192.168.1.1 255.255.255.0
dhcp select global
quit
# 内网端口二层模式划入VLAN1
interface GigabitEthernet 0/0/1 to 0/0/8
port link-mode bridge
port access vlan 1
undo shutdown
quit

二、DHCP Snooping 完整配置(关键)
1. 全局开启 DHCP Snooping
plaintext
# 全局使能DHCP Snooping
dhcp snooping enable ipv4
# 开启非法DHCP服务器告警
dhcp snooping alarm dhcp-reply enable
# 可选:绑定表持久化,重启不丢失表项
dhcp snooping binding database filename dhcp-snooping.txt

2. 在业务 VLAN1 开启 Snooping(二层报文管控)
plaintext
vlan 1
dhcp snooping enable
quit

3. 重点:本机 DHCP 无需物理 trust 口,不用配 dhcp snooping trust
常规交换机场景是上联口做 trust;
ICG 本机充当 DHCP 服务器,三层 Vlanif 自身下发 DHCP 响应,不需要把内网端口设为 trust。
所有接入 PC 的物理口保持默认非信任 Untrusted,内网任何终端发出 DHCP OFFER/ACK 直接丢弃。
4. 内网接入端口优化(全部 LAN 口统一配置)
plaintext
interface GigabitEthernet 0/0/1 to 0/0/8
# 记录DHCP绑定表(IP/MAC/端口),配合DAI/IPSG使用
dhcp snooping binding record
# 开启Option82(可选,定位接入端口)
dhcp snooping information enable
# 限制端口DHCP报文速率,防攻击
dhcp snooping rate-limit 10
quit

三、可选配套安全(推荐一并开启)
1. DAI 动态 ARP 检测(依托 DHCP Snooping 绑定表防 ARP 欺骗)
plaintext
vlan 1
arp detection enable
quit
# 上联/出口三层口设为ARP信任,内网口默认非信任
interface Vlan-interface 1
arp detection trust
quit

2. IPSG 源 IP 防护(仅允许 DHCP 分配的 IP 上网)
plaintext
interface GigabitEthernet 0/0/1 to 0/0/8
ip source guard enable static
quit

四、校验查看命令
plaintext
# 查看DHCP Snooping全局配置
display dhcp snooping configuration
# 查看VLAN内Snooping状态
display dhcp snooping vlan 1
# 查看终端IP-MAC绑定表
display dhcp snooping user-bind all
# 查看非法DHCP告警统计
display dhcp snooping packet statistics

五、常见踩坑点
不要在内网 LAN 口配置 dhcp snooping trust
一旦配置,内网私接路由器就能下发 IP,Snooping 失效。本机三层 Vlanif 下发 DHCP 响应不受端口 trust 控制。
仅全局开 dhcp snooping enable,没在 vlan1 下使能,功能不生效。
端口 port link-mode route 三层口不支持 DHCP Snooping,接入终端必须 bridge 二层模式。
若 PC 获取 IP 失败:排查端口是否误配 trust、全局 dhcp 是否开启、地址池网段与 Vlanif 匹配。
最简完整可下发配置汇总
plaintext
system-view
dhcp enable
dhcp snooping enable ipv4
dhcp snooping alarm dhcp-reply enable
dhcp snooping binding database filename dhcp-snooping.txt

dhcp server ip-pool lan1
network 192.168.1.0 mask 255.255.255.0
gateway-list 192.168.1.1
dns-list 223.5.5.5
lease day 3
quit

vlan 1
dhcp snooping enable
arp detection enable
quit

interface Vlan-interface 1
ip address 192.168.1.1 255.255.255.0
dhcp select global
arp detection trust
quit

interface GigabitEthernet 0/0/1 to 0/0/8
port link-mode bridge
port access vlan 1
dhcp snooping binding record
dhcp snooping information enable
dhcp snooping rate-limit 10
ip source guard enable static
undo shutdown
quit

暂无评论

粉丝:25人 关注:1人

ICG3000作为DHCP服务器时,配置DHCP Snooping的思路和交换机不同。你不需要在ICG3000上“启用”DHCP Snooping来保护自己,因为信任的DHCP服务器就是它本身

💡 核心思路:作为服务器,重点是“被保护”

DHCP Snooping是一种部署在接入层交换机上的安全功能,它通过将端口设置为“信任”或“非信任”来工作,其作用是防止网络中私接的、非法的DHCP服务器。

因此,你的配置重心不在于ICG3000本身,而在于它下联的接入交换机。你需要:

  1. 在接入交换机上全局开启DHCP Snooping

  2. 将连接ICG3000(合法DHCP服务器)的交换机端口设置为“信任端口”。只有信任端口才能接收和转发DHCP响应,从而确保只有ICG3000的DHCP服务有效。

  3. 将连接终端(PC等)的交换机端口设置为“非信任端口”。这是默认状态,无需额外配置。

📝 接入交换机上的配置步骤(命令示例)

假设接入交换机为H3C系列,连接ICG3000的端口为GigabitEthernet1/0/1,连接PC的端口为GigabitEthernet1/0/2

  1. 进入系统视图

    text
    <Switch> system-view
  2. 全局开启DHCP Snooping功能

    text
    [Switch] dhcp snooping enable
  3. 配置上联口(连接ICG3000)为信任端口

    text
    [Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] dhcp snooping trust [Switch-GigabitEthernet1/0/1] quit

    这一步是关键,必须将连接合法DHCP服务器的端口设为信任。

  4. (可选)在指定VLAN启用DHCP Snooping
    如果你只在特定VLAN需要此功能,可以配置:

    text
    [Switch] dhcp snooping vlan vlan-id

    其中 vlan-id 是你的业务VLAN编号。如果未指定,则默认在所有VLAN生效。

  5. (可选)开启源MAC地址校验
    为进一步增强安全,可在全局开启此功能:

    text
    [Switch] dhcp snooping verify mac-address

    这能防止MAC地址欺骗。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明