返回
华为DHCP Snooping配置实例

华为DHCP Snooping配置实例

ID:38677771

大小:43.18 KB

页数:7页

时间:2019-06-17

华为DHCP Snooping配置实例_第1页
华为DHCP Snooping配置实例_第2页
华为DHCP Snooping配置实例_第3页
华为DHCP Snooping配置实例_第4页
华为DHCP Snooping配置实例_第5页
资源描述:

《华为DHCP Snooping配置实例》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、DHCPSnooping配置介绍DHCPSnooping的原理和配置方法,并给出配置举例。配置DHCPSnooping的攻击防范功能示例组网需求如图9-13所示,SwitchA与SwitchB为接入设备,SwitchC为DHCPRelay。Client1与Client2分别通过GE0/0/1与GE0/0/2接入SwitchA,Client3通过GE0/0/1接入SwitchB,其中Client1与Client3通过DHCP方式获取IPv4地址,而Client2使用静态配置的IPv4地址。网络中存在非法用户的攻击导致合法用户不能正常获取IP地址,

2、管理员希望能够防止网络中针对DHCP的攻击,为DHCP用户提供更优质的服务。图9-13配置DHCPSnooping的攻击防范功能组网图配置思路采用如下的思路在SwitchC上进行配置。1.使能DHCPSnooping功能并配置设备仅处理DHCPv4报文。2.配置接口的信任状态,以保证客户端从合法的服务器获取IP地址。3.使能ARP与DHCPSnooping的联动功能,保证DHCP用户在异常下线时实时更新绑定表。4.使能根据DHCPSnooping绑定表生成接口的静态MAC表项功能,以防止非DHCP用户攻击。5.使能对DHCP报文进行绑定表匹配检

3、查的功能,防止仿冒DHCP报文攻击。1.配置DHCP报文上送DHCP报文处理单元的最大允许速率,防止DHCP报文泛洪攻击。2.配置允许接入的最大用户数以及使能检测DHCPRequest报文帧头MAC与DHCP数据区中CHADDR字段是否一致功能,防止DHCPServer服务拒绝攻击。操作步骤1.使能DHCPSnooping功能。#使能全局DHCPSnooping功能并配置设备仅处理DHCPv4报文。system-view[HUAWEI]sysnameSwitchC[SwitchC]dhcpenable[SwitchC]dhcps

4、noopingenableipv4#使能用户侧接口的DHCPSnooping功能。以GE0/0/1接口为例,GE0/0/2的配置相同,此处省略。[SwitchC]interfacegigabitethernet0/0/1[SwitchC-GigabitEthernet0/0/1]dhcpsnoopingenable[SwitchC-GigabitEthernet0/0/1]quit2.配置接口的信任状态:将连接DHCPServer的接口状态配置为“Trusted”。3.[SwitchC]interfacegigabitethernet0/0/3

5、4.[SwitchC-GigabitEthernet0/0/3]dhcpsnoopingtrusted[SwitchC-GigabitEthernet0/0/3]quit5.使能ARP与DHCPSnooping的联动功能。[SwitchC]arpdhcp-snooping-detectenable6.使能根据DHCPSnooping绑定表生成接口的静态MAC表项功能。#在用户侧接口进行配置。以GE0/0/1接口为例,GE0/0/2的配置相同,此处省略。[SwitchC]interfacegigabitethernet0/0/1[SwitchC-

6、GigabitEthernet0/0/1]dhcpsnoopingsticky-mac[SwitchC-GigabitEthernet0/0/1]quit7.使能对DHCP报文进行绑定表匹配检查的功能。#在用户侧接口进行配置。以GE0/0/1接口为例,GE0/0/2的配置相同,此处省略。[SwitchC]interfacegigabitethernet0/0/1[SwitchC-GigabitEthernet0/0/1]dhcpsnoopingcheckdhcp-requestenable[SwitchC-GigabitEthernet0/0/

7、1]quit1.配置DHCP报文上送DHCP报文处理单元的最大允许速率为90pps。2.[SwitchC]dhcpsnoopingcheckdhcp-rateenable[SwitchC]dhcpsnoopingcheckdhcp-rate903.使能检测DHCPRequest报文中GIADDR字段是否非零的功能。#在用户侧接口进行配置。以GE0/0/1接口为例,GE0/0/2的配置相同,此处省略。[SwitchC]interfacegigabitethernet0/0/1[SwitchC-GigabitEthernet0/0/1]dhcpsn

8、oopingcheckdhcp-giaddrenable[SwitchC-GigabitEthernet0/0/1]quit4.配置接口允许接入的最大

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。