返回
华为S3700 DHCP Snooping配置

华为S3700 DHCP Snooping配置

ID:39581595

大小:16.06 KB

页数:5页

时间:2019-07-06

华为S3700 DHCP Snooping配置_第1页
华为S3700 DHCP Snooping配置_第2页
华为S3700 DHCP Snooping配置_第3页
华为S3700 DHCP Snooping配置_第4页
华为S3700 DHCP Snooping配置_第5页
资源描述:

《华为S3700 DHCP Snooping配置》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、1.S3700DHCPSnooping配置1.1配置防止DHCPServer仿冒者的攻击防止DHCPServer仿冒者攻击的基本配置过程,包括配置信任接口、配置DHCPReply报文丢弃告警功能。#dhcpenabledhcpsnoopingenabledhcpserverdetect#interfaceGigabitEthernet0/0/1dhcpsnoopingenabledhcpsnoopingtrusted#interfaceGigabitEthernet0/0/2dhcpsnoopingenabledhcpsnoopingalarmuntrust-replyenabled

2、hcpsnoopingalarmuntrust-replythreshold120在端口下配置dhcpsnooping后默认成为untrusted端口1.2配置防止改变CHADDR值的DoS攻击示例如果攻击者改变的不是数据帧头部的源MAC,而是通过改变DHCP报文中的CHADDR(ClientHardwareAddress)值来不断申请IP地址,而S3700仅根据数据帧头部的源MAC来判断该报文是否合法,那么MAC地址限制不能完全起作用,这样的攻击报文还是可以被正常转发。为了避免受到攻击者改变CHADDR值的攻击,可以在S3700上配置DHCPSnooping功能,检查DHCPReq

3、uest报文中CHADDR字段。如果该字段跟数据帧头部的源MAC相匹配,转发报文;否则,丢弃报文Switch应用在用户网络和ISP的二层网络之间,为防止攻击者通过改变CHADDR值进行DoS攻击,要求在Switch上应用DHCPSnooping功能。检查DHCPRequest报文中CHADDR字段,如果该字段跟数据帧头部的源MAC相匹配,便转发报文;否则丢弃报文。同时使能丢弃报文告警功能。#dhcpenabledhcpsnoopingenable#interfaceGigabitEthernet0/0/1dhcpsnoopingenabledhcpsnoopingtrusted#in

4、terfaceGigabitEthernet0/0/2dhcpsnoopingenabledhcpsnoopingcheckmac-addressenable#return1.3配置防止仿冒DHCP续租报文攻击示例Switch应用在用户网络和ISP的二层网络之间。为防止攻击者仿冒DHCP续租报文,要求在Switch上应用DHCPSnooping功能,建立DHCPSnooping绑定表,检查接收到的DHCPRequest报文,只有和绑定表中的内容一致的报文才被转发,否则将被丢弃。同时使能丢弃报文告警功能。#dhcpenabledhcpsnoopingenable#interfaceGi

5、gabitEthernet0/0/1dhcpsnoopingenabledhcpsnoopingtrusted#interfaceGigabitEthernet0/0/2dhcpsnoopingenabledhcpsnoopingalarmuser-bindenable#return1.4配置限制DHCP报文上送速率示例当网络中存在攻击者通过大量发送DHCPRequest或Reply报文进行攻击时,会造成Switch处理资源紧张,合法用户的请求得不到及时处理。如图3-6所示,为了防止大量发送DHCP报文的攻击,需要在Switch上配置DHCPSnooping功能,控制DHCP报文的上

6、送速率,同时使能报文限速告警功能。S3700_DHCP_Snooping#dhcpenabledhcpsnoopingenable#interfaceGigabitEthernet0/0/1dhcpsnoopingenabledhcpsnoopingtrusted#interfaceGigabitEthernet0/0/2dhcpsnoopingenabledhcpsnoopingalarmuser-bindenable#return单位是PPS1.5配置option82功能使能Option82功能,可以根据Option82信息建立精确到接口的绑定表。从而避免DHCPServer仿冒

7、者回应给DHCPClient仿冒信息1.5.1接口视图下的配置步骤如下1.执行命令system-view,进入系统视图。2.执行命令interfaceinterface-typeinterface-number,进入接口视图。该接口为用户侧接口。3.执行命令dhcpoption82insertenable,使能Option82功能;或者执行命令dhcpoption82rebuildenable,使能强制插入Option82功能。–配置dhcpoption8

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。