避免网络中私架DHCP服务器,用dhcpsnooping可以吗
答案:2 悬赏:0 手机版
解决时间 2021-12-22 00:50
- 提问者网友:我一贱你就笑
- 2021-12-21 06:50
避免网络中私架DHCP服务器,用dhcpsnooping可以吗
最佳答案
- 五星知识达人网友:往事隔山水
- 2021-12-21 07:44
开启交换机DHCP Snooping功能
[h3c]DHCP Snooping
配置合法的DHCP服务器转发端口
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]dhcp-snooping trust
配置防DHCP服务器仿冒功能
例:
开启交换机DHCP Snooping功能
[h3c]DHCP Snooping
开启防DHCP服务器仿冒功能
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]dhcp-snooping server-guard enable
意思是在端口上启用仿冒功能,万一有非法DHCP服务器进入即触发预设置的策略
配置防DHCP服务器仿冒功能的处理策略
[h3c-Ethernet1/0/5]dhcp-snooping server-guard method { trap | shutdown }
缺省情况下,交换机防DHCP服务器仿冒功能的处理策略为trap
显示DHCP服务器仿冒相关信息
display dhcp-snooping server-guard
其实配置snooping和仿冒功能效果都是一样,防止非法的DHCP服务器进入网络,只是h3c交换机不同型号支持的方法不同。
[h3c]DHCP Snooping
配置合法的DHCP服务器转发端口
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]dhcp-snooping trust
配置防DHCP服务器仿冒功能
例:
开启交换机DHCP Snooping功能
[h3c]DHCP Snooping
开启防DHCP服务器仿冒功能
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]dhcp-snooping server-guard enable
意思是在端口上启用仿冒功能,万一有非法DHCP服务器进入即触发预设置的策略
配置防DHCP服务器仿冒功能的处理策略
[h3c-Ethernet1/0/5]dhcp-snooping server-guard method { trap | shutdown }
缺省情况下,交换机防DHCP服务器仿冒功能的处理策略为trap
显示DHCP服务器仿冒相关信息
display dhcp-snooping server-guard
其实配置snooping和仿冒功能效果都是一样,防止非法的DHCP服务器进入网络,只是h3c交换机不同型号支持的方法不同。
全部回答
- 1楼网友:街头电车
- 2021-12-21 08:01
dhcp snooping配置步骤
1.进入系统视图
system-view
2.全局使能dhcp-snooping功能
[h3c]dhcp-snooping
3.进入端口e1/0/2
[h3c] interface ethernet 1/0/2
3.将端口e1/0/2配置为trust端口,
[h3c-ethernet1/0/2]dhcp-snooping trust
dhcpsnooping配置关键点
1.当交换机开启了 dhcp-snooping后,会对dhcp报文进行侦听,并可以从接收到的dhcp request或dhcp ack报文中提取并记录ip地址和mac地址信息。另外,dhcp-snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发dhcp offer报文,而不信任端口会将接收到的dhcpoffer报文丢弃。这样,可以完成交换机对假冒dhcp server的屏蔽作用,确保客户端从合法的dhcp server获取ip地址;
2.由于dhcp服务器提供给用户包含了服务器分配给用户的ip地址的报文―“dhcp offer”报文,由e1/0/2端口进入交换机并进行转发,因此需要将端口e1/0/2配置为“trust”端口。如果交换机上行接口配置为trunk 端口,并且连接到dhcp中继设备,也需要将上行端口配置为“trust”端口。
我要举报
如以上问答信息为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
大家都在看
推荐资讯