华为eNSP DHCP中继 、DHCP Snooping安全及配置
创作时间:
作者:
@小白创作中心
华为eNSP DHCP中继 、DHCP Snooping安全及配置
引用
CSDN
1.
https://blog.csdn.net/qq_63822856/article/details/139862734
一.基本配置
DHCP服务器配置
#
sysname dhcp-server
#
interface GigabitEthernet0/0/0
ip address 20.1.1.1 255.255.255.0
dhcp select global
#
dhcp enable
#
ip pool forvlan10
gateway-list 192.168.10.254
network 192.168.10.0 mask 255.255.255.0
dns-list 8.8.8.8
#
ip pool forvlan20
gateway-list 192.168.20.254
network 192.168.20.0 mask 255.255.255.0
excluded-ip-address 192.168.20.1
dns-list 8.8.8.8
#
核心路由器配置
#
sysname hexin-SW
#
interface GigabitEthernet0/0/0
ip address 20.1.1.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 10.1.1.1 255.255.255.0
#
ospf 1 router-id 5.5.5.5
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 20.1.1.0 0.0.0.255
#
汇聚层交换机配置
#
sysname huiju-SW
#
undo info-center enable
#
vlan batch 5 10 20
#
dhcp enable
#
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
dhcp select relay
dhcp relay server-ip 20.1.1.1
#
interface Vlanif20
ip address 192.168.20.254 255.255.255.0
dhcp select relay
dhcp relay server-ip 20.1.1.1
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 5
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
#
ospf 1 router-id 2.2.2.2
import-route direct
area 0.0.0.0
network 10.1.1.0 0.0.0.255
#
接入层交换机配置
#
sysname jieru-SW
#
undo info-center enable
#
vlan batch 10 20
#
interface Ethernet0/0/1
port link-type access
port default vlan 10
#
interface Ethernet0/0/2
port link-type access
port default vlan 20
#
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
二.DHCP安全问题及配置 DHCP Snooping
1.DHCP安全问题
DHCP应用服务在校园网运营过程中可能存在的问题:
- 非法的DHCP服务器:如果存在恶意用户私自架设了一台DHCP服务器,那么将会使用户获取到错误的IP地址,导致无法接入进校园网
- 用户私自配置IP:部分用户手动配置IP地址,但DHCP服务器是不知道的,因此在为DHCP用户分配IP地址的时候,用户通过DHCP获取到的IP地址,在网络中是已经使用的,导致了IP地址冲突
- 饿死攻击:属于DoS攻击的一种,攻击者通常构造DHCP client报文,冒充大量用户去请求IP地址,从而耗尽服务器IP资源
2.安全配置,Snooping功能:
模拟非法的DHCP服务器配置
#
sysname IlegalServer
#
dhcp enable
#
ip pool ilegal
gateway-list 172.1.1.1
network 172.1.1.0 mask 255.255.255.0
dns-list 1.1.1.1
#
interface GigabitEthernet0/0/0
ip address 170.1.1.1 255.255.255.0
dhcp select interface
#
防止非法的DHCP服务器接入
在接入层交换机上开启Snooping功能:
#
sysname jieru-SW
#
undo info-center enable
#
vlan batch 10 20
#
dhcp enable
#
dhcp snooping enable 开启Snooping功能
#
vlan 10
dhcp snooping enable
vlan 20
dhcp snooping enable
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
dhcp snooping enable 启用Snooping功能
dhcp snooping trusted 设置为信任端口,默认为untrust
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/5
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/6
port link-type access
port default vlan 20
#
防止用户私自配置IP
开启Snooping功能后,交换机会生成Snooping绑定表,私自配置的IP地址将不可用。
防饿死攻击
在接入层交换机下行端口设置该端口获得dhcp地址的最大数为1,防止饿死攻击:
[jieru-SW-GigabitEthernet0/0/3]dhcp snooping max-user-number 1
通过以上配置,可以有效防范DHCP相关的安全威胁,确保网络的稳定运行。
热门推荐
第47届世界技能大赛国家队选手齐聚厦门集训
三国时期刘禅继位之后,是如何亲政的?
男性备孕期间针灸治疗须知:准备事项全解析(2024版)
河北省一系列生态修复重大工程效果显现
首都医学科学创新中心:创新引人机制,打造一流科研团队
OCPP 1.6如何支持多充电协议的互操作性
高处作业的安全带
中国近1500万对夫妻不孕不育,“生不了”的原因居然这么多!
玩家借AI创作的“发癫歌”,却能比游戏本身更火
14种南方和北方的代表面条,你吃过几种?
一碗担担面背后隐藏着什么故事?
房顶漏水,找物业还是找开发商?
【以案释法】处置装修垃圾要合规 网上交易要当心
《哪吒2》灵珠有最纯的灵气,为何打不过魔丸哪吒,只能说逆境出高手
一文搞懂物联网通信技术
物联网(IoT)网络的关键技术
持久图像成为未来情报侦察的关键:100颗间谍卫星让你无处遁形
新疆旅游必读:高原反应全攻略
农村承包土地转租,怎么转
插花花艺培训花材处理及养护
插花花材修剪全攻略:从基础步骤到注意事项
中职学校几种数学教学方法
植物细胞中的营养储存:揭秘植物的储粮箱
房产交易三大关键问题:假证诈骗、贷款流程与交易反悔
打房产官司需要什么证据
为什么胳膊会钙化?医生提醒:这几种情况必须警惕!
违法约定试用期,赔偿!
征收土地有什么用?用途、好处及环境影响全解析
i79700k相当于i5几代(9700k相当于12代什么水平)
世界首台!完全抗干扰激光雷达在舟山海试成功