DHCP-snooping该怎样配置_百度知道
DHCP-snooping该怎样配置
我有更好的答案
在接入交换机开启
跟汇聚交换机的上联口设为trust口
在上联口接口模式下
ip dhcp snooping trust
其他类似问题
为您推荐：
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁snooping安全技术分析
DHCP简化了配置，提高了管理效率。但是也带来安全隐患。
常见的有：
无赖（rouge）DHCP服务器
l&DHCP耗竭攻击
l&Ip地址冲突
一& 无赖（rouge）DHCP服务器
&& 由于DHCP服务器和客户端之间没有认证机制，网络上随意架设一台无赖DHCP服务器，给客户分配错误的IP地址，那就会对网络造成非常大的危害。
&二 DHCP耗竭攻击
通常DHCP服务器通过检查客户端发送的DHCP报文中的CHADDR（客户主机MAC地址）字段来判断客户的MAC的。一般情况下应该和发送报文的客户端真实MAC地址相同。
虽然可以利用端口安全（Port Security）限制每个端口只使用唯一的MAC地址。但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改DHCP报文中的CHADDR字段来实施攻击，那就可以绕过端口安全的检查了。
Yersinia和gobble都能实施这种攻击
三 Ip地址冲突
客户端并非一定要使用DHCP服务获取IP，也可使用静态指定的方式来设置IP地址。这将会大大提高网络IP地址冲突的可能性。
DHCP SNOOPING技术介绍
DHCP spanning 是一个控制平面特性。能在一个VLAN上严密监视并限制DHCP的操作。
这就意味着可以做深度检查，查看DHCP内部的字段。
交换机端口划分为两类:
非信任端口：通常为连接终端设备的端口，如PC，网络打印机等
交换机限制用户非信任端口,只能够发送DHCP请求，丢弃来自非信任端口的所有其它DHCP报文。交换机限制用户非信任端口,只能够发送DHCP请求，丢弃来自非信任端口的所有其它DHCP报文.而且，即使是DHCP请求。只有DHCP 请求报文头里的源MAC地址和 DHCP报文中的硬件地址（CHADDR字段）只有这两者相同的请求报文才会被转发，否则将被丢弃。这样就防止了DHCP耗竭攻击。
信任端口：连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口
信任端口可以接收所有的DHCP报文
通过只将交换机合法DHCP服务器连接到信任端口，其他端口设置为非信任端口，就可以防止用户伪造DHCP服务器来攻击网络。
通过DHCP报文进行限速，可以防止DHCP请求报文的广播攻击。
在非信任端口的客户端获得一个合法的DHCP Offer，交换机开始从DHCP数据包收集信息构建绑定表，这些信息包括IP地址，MAC地址，VLAN，端口 ，租期。
绑定表构建过程：
DHCP监听绑定表还为部署IP源防护（IPSG）和动态ARP检测（DAI）提供了依据。
客户一旦不使用动态获取IP地址，改用手工设置，那么就不发送DHCP,，就没有绑定表。
如果要求客户端只能以动态获得IP的方式接入网络，则必须借助于IPSG和DAI技术。
DHCP Snooping的配置
&&&&&&&&&&& Switch(config)#ip dhcp snooping&//开启DHCP Snooping功能
&&&&&&&&&&& Switch(config)#ip dhcp snooping vlan 10 //设置DHCP Snooping功能对那个VLNAN启用
&&&&&&&&&&& Switch(config)#ip dhcp snooping verify mac-address //开启DHCP请求报文的源MAC和CHADDR字段是否相同的检查，默认已经开启
&&&&&&&&&&& Switch(config-if)#ip dhcp snooping trust //设置信任端口
&&&&&&&&&&& Switch(config-if)#ip dhcp snooping limit rate N&//限制非信任端口的DHCP报文速率为每秒发包数目
(window.slotbydup=window.slotbydup || []).push({
id: '2467140',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467141',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467142',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467143',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467148',
container: s,
size: '1000,90',
display: 'inlay-fix'&华为 DHCP Snooping配置举例
秒后自动跳转到登录页
(奖励10下载豆)
快捷登录：
举报类型：
不规范：上传重复资源
不规范：标题与实际内容不符
不规范：资源无法下载或使用
其他不规范行为
违规：资源涉及侵权
违规：含有危害国家安全等内容
违规：含有反动/色情等内容
违规：广告内容
详细原因：
任何违反下载中心规定的资源，欢迎Down友监督举报，第一举报人可获5-10下载豆奖励。
思科 GNS3 v1.4.0 a
网络协议报文格式大
思科 GNS3 v1.3.13
CiscoIOS操作手册中
思科CCNP认证实验-交
H3C LITO模拟器 v1.
华为 eNSP V100R002
华为 DHCP Snooping配置举例
上传时间：
技术分类：
资源评价：
（1位用户参与评价）
已被下载&12&次
华为 dhcpsnooping 详细的配置讲解，举例纯手动整理。
本资料共包含以下附件：
配置 DHCP Snooping.docx
51CTO下载中心常见问题：
1.如何获得下载豆？
1)上传资料
2)评论资料
3)每天在首页签到领取
4)购买VIP会员服务，无需下载豆下载资源
5)更多途径：
2.如何删除自己的资料？
下载资料意味着您已同意遵守以下协议：
1.资料的所有权益归上传用户所有
2.未经权益所有人同意，不得将资料中的内容挪作商业或盈利用途
3.51CTO下载中心仅提供资料交流平台，并不对任何资料负责
4.本站资料中如有侵权或不适当内容，请邮件与我们联系（）
5.本站不保证资源的准确性、安全性和完整性, 同时也不承担用户因使用这些资料对自己和他人造成任何形式的伤害或损失
下载1298次
下载2124次
相关专题推荐
本专题为电脑报随书视频——《黑客入
本专题精心收录思科各类网络数通设备
本专题为CISCO公司内部网络技术培训视
马哥教育是从事Linux运维、系统、架构
故障专题包含：交换机启动异常故障处
华为路由交换精英培训教程是针对于华
英文版15M&T的BGP、BFD、EIGRP、ISIS
华为网络技术培训教程
用思科Packet Tracer建构实验攻略:包
集成华为BOOTROM和ROM系列交换机，路
本周下载热点
意见或建议：
联系方式：
您已提交成功！感谢您的宝贵意见，我们会尽快处理H3C交换机的DHCP server与DHCP snooping配置参考资料_纸上得来终觉浅，绝知此事要躬行。_天涯博客
古人学问无遗力，少壮工夫老始成。纸上得来终觉浅，绝知此事要躬行。——一个教育工作者、一名爱她的孩子的母亲的教育思考。
今日访问：[$DayVisitCount$]
总访问量：328125
开博时间：
博客排名：5292
(521)(243)(89)(4)(31)(78)(46)(42)
(2)(1)(2)(8)(8)(3)(4)(12)(2)(3)(2)(1)(5)(5)(4)(3)(10)(9)(6)(4)(5)(7)(7)(6)(8)(9)(10)(9)(13)(8)(8)(12)(5)(7)(9)(9)(14)(10)(6)(8)(12)(9)(11)(7)(5)(5)(7)(10)(9)(13)(10)(7)(14)(9)(11)(9)(1)(3)(4)(7)(8)(9)(8)(4)(12)(9)(14)(15)(11)(13)(2)
　　H3C三层交换机的DHCP server与DHCP snooping配置参考资料
一 本校区的IP分配应是用核心交换机DHCP server功能
参考资料原文地址：/art/886.htm
H3C交换机DHCP Server配置内容：
H3C交换机DHCP Server配置1 配置环境参数
1. PC1、PC2的网卡均采用动态获取IP地址的方式
2. PC1连接到交换机的以太网端口0/1，属于VLAN10；PC2连接到交换机的以太网端口0/2，属于VLAN20
3. 三层交换机SwitchA的VLAN接口10地址为10.1.1.1/24，VLAN接口20地址为10.1.2.1/24
H3C交换机DHCP Server配置2 组网需求
PC1可以动态获取10.1.1.0/24网段地址，并且网关地址为10.1.1.1；PC2可以动态获取10.1.2.0/24网段地址，并且网关地址为10.1.2.1
H3C交换机DHCP Server配置3 DHCP Server配置流程流程
可以完成对直接连接到三层交换机的PC机分配IP地址，也可以对通过DHCP中继设备连接到三层交换机的PC机分配IP地址。
分配地址的方式可以采用接口方式，或者全局地址池方式。（本校区应是用地址池IP-pool方式）
H3C交换机DHCP Server配置4 SwitchA采用接口方式分配地址相关配置
1. 创建（进入）VLAN10
[SwitchA]vlan 10
2. 将E0/1加入到VLAN10
[SwitchA-vlan10]port Ethernet 0/1
3. 创建（进入）VLAN接口10
[SwitchA]interface Vlan-interface 10
4. 为VLAN接口10配置IP地址
[SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.0
5. 在VLAN接口10上选择接口方式分配IP地址
[SwitchA-Vlan-interface10]dhcp select interface
6. 禁止将PC机的网关地址分配给用户
[SwitchA]dhcp server forbidden-ip 10.1.1.1
H3C交换机DHCP Server配置5 SwitchA采用全局地址池方式分配地址相关配置
1. 创建（进入）VLAN10
[SwitchA]vlan 10
2. 将E0/1加入到VLAN10
[SwitchA-vlan10]port Ethernet 0/1
3. 创建（进入）VLAN接口10
[SwitchA]interface Vlan-interface 10
4. 为VLAN接口10配置IP地址
[SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.0
5. 在VLAN接口10上选择全局地址池方式分配IP地址
[SwitchA-Vlan-interface10]dhcp select global
6. 创建全局地址池，并命名为&vlan10&
[SwitchA]dhcp server ip-pool vlan10
7. 配置vlan10地址池给用户分配的地址范围以及用户的网关地址
[SwitchA-dhcp-vlan10]network 10.1.1.0 mask 255.255.255.0
[SwitchA-dhcp-vlan10]gateway-list 10.1.1.1
8. 禁止将PC机的网关地址分配给用户
[SwitchA]dhcp server forbidden-ip 10.1.1.1
H3C交换机DHCP Server配置6 补充说明
以上配置以VLAN10的为例，VLAN20的配置参照VLAN10的配置即可。在采用全局地址池方式时，需新建一个与&vlan10&不同名的全局地址池。
经过以上配置，可以完成为PC1分配的IP地址为10.1.1.0/24，同时PC1的网关地址为10.1.1.1；为PC2分配的IP地址为10.1.2.0/24，同时PC2的网关地址为10.1.2.1。
VLAN接口默认情况下以全局地址池方式进行地址分配，因此当VLAN接口配置了以全局地址池方式进行地址分配后，查看交换机当前配置时，在相应的VLAN接口下无法看到有关DHCP的配置。
利用全局地址池方式，可以完成为用户分配与三层交换机本身VLAN接口地址不同网段的IP地址。
此外，以前改造前的校园网不同Vlan间可以互相访问，应该是做了DHCP relay设置。
二 用DHCP snooping降低局域网内非法DHCP的危害
现在问题：交换机本身是dhcp server提供者该怎么设置dhcp snooping？操作手册和网上资料没有相关内容。还有资料称dhcp snooping后，有交换机接入时会导致网络生成树不稳定而影响网络，都是需要考虑的问题。
找到资料，应该是：DHCP snooping 跟DHCP server不能配置在同一台设备上，DHCP Snooping 一般应用在接入层交换机。直接与PC打交道。 不能与DHCP SERVER共存在一台设备上。
那级联的二层交换机能否进行DHCP snooping设置呢？网上资料指二层交换机的工作原理决定了它不足以担当DHCP服务器的角色，所以二层交换机只能设置为DHCP客户端或者开启DHCP-Snooping等辅助DHCP功能。那级联的二层交换机要如何一一进行设置？是否要考虑下面因素&&如果交换机上行接口配置为Trunk 端口，并且连接到DHCP中继设备，也需要将上行端口配置为&trust&端口。是否指将如下图的级联的橙色端口都设置为TRUST端口？
突然发现级联的二层交换机中，如果其中一个交换机有接入非法DHCP server（如无线路由反接等）情况时，其他二层交换机因为是trust端口分配的IP，视为合法，并没有办法区分非法DHCP。
所以，最终解决方法还是要将多台级联二层交换机尽量多分几个组，分别直接与核心交换机连接，最好用不同网段，才是更有效的方法。
原文网址：/article/9c69d48f4ed7.html
DHCP监听被开启后，交换机限制用户端口（非信任端口）只能够发送DHCP请求，丢弃来自用户端口的所有其它DHCP报文。DHCP-snooping还有一个非常重要的作用就是建立一张DHCP监听绑定表，既然DHCP-snooping这么重要，那么让我们来看看他是怎么样配置的！
1．PC可以从指定DHCP Server获取到IP地址；
2．防止其他非法的DHCP Server影响网络中的主机。
参考如下如完成配置：
DHCP Snooping配置步骤
1．进入系统视图
&H3C&system-view
2．全局使能dhcp-snooping功能
[H3C]dhcp-snooping
3．进入端口E1/0/2
[H3C] interface Ethernet 1/0/2
3．将端口E1/0/2配置为trust端口，
[H3C-Ethernet1/0/2]dhcp-snooping trust
DHCP Snooping配置关键点
1．当交换机开启了 DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCPOffer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址；
2．由于DHCP服务器提供给用户包含了服务器分配给用户的IP地址的报文―&dhcp offer&报文，由E1/0/2端口进入交换机并进行转发，因此需要将端口E1/0/2配置为&trust&端口。如果交换机上行接口配置为Trunk 端口，并且连接到DHCP中继设备，也需要将上行端口配置为&trust&端口。
三 H3C 7600(Release 6500)操作手册-IP业务分册地址
.cn/Service/Document_Center/Switches/Catalog/S7600/H3C_S7600/Configure/Operation_Manual/S7600_OM-Release_6600_(V1.00)/02-IP/066_30005_0.htm#_Toc