H3C_DHCP_snooping的配置

H3C_DHCP_snooping的配置DHCPSnooping是DHCP的一种安全特性,主要应用在交换机上,作用是屏蔽接入网络中的非法的DHCP服务器。即开启DHCPSnooping功能后,网络中的客户端只有从管理员指定的DHCP服务器获取IP地址。


前言

DHCP Snooping是DHCP的一种安全特性,主要应用在交换机上,作用是屏蔽接入网络中的非法的DHCP服务器。即开启DHCP Snooping功能后,网络中的客户端只有从管理员指定的DHCP服务器获取IP地址。
在园区网中,办公网段一般会用核心交换机采取dhcp地址池分配。在某些情况下,内部人员可能会私接路由器上外网,这就有可能导致办公网段的dhcp地址不能正常获取,使办公电脑不能正常上网或者导致网络瘫痪。


拓扑图及拓扑说明

用HCL模拟器来演示下,下图为拓扑图。
在这里插入图片描述

拓扑说明:SW为核心交换机,JR_SW为接入交换机,RT为私接路由器,PC_4和PC_5位办公网段PC。办公网段为:192.168.10.0/24,私接路由器网段为:192.168.1.0/24

相关配置

1.配置核心SW的dhcp地址池(192.168.10.0/24),配置完成后开启PC的dhcp获取,由下图可以看到,PC_4和PC_5地址能够正常获取到。
配置语句如下:

[SW]dhcp enable
[SW]interface Vlan-interface 1
[SW-Vlan-interface1]ip address 192.168.10.1 24
[SW]dhcp server ip-pool 1
[SW-dhcp-pool-1]gateway-list 192.168.10.1
[SW-dhcp-pool-1]network 192.168.10.0 mask 255.255.255.0

在这里插入图片描述
在这里插入图片描述
2.配置私接路由器的dhcp(实际情况中私接路由器默认网段一般都为192.168.1.0/24)。
配置语句如下:

[RT]dhcp enable
[RT]interface Vlan-interface 1
[RT-Vlan-interface1]ip add 192.168.1.1 24
[RT]dhcp server ip-pool 1
[RT-dhcp-pool-1]gateway-list 192.168.1.1
[RT-dhcp-pool-1]network 192.168.1.0 mask 255.255.255.0
[RT]interface g0/0
[RT-GigabitEthernet0/0]port link-mode bridge

3.重启PC_4和PC_5,可以看到,PC_5获取到的是私接路由器的dhcp地址,在这种情况下,PC_5就存在上不了网络的情况。
在这里插入图片描述
在这里插入图片描述
4.配置接入SW的dhcp snooping,缺省情况下,在开启DHCP Snooping功能后,设备的所有端口均为不信任端口,因此在开启全局DHCP Snooping后,只需配置g1/0/1口为trust口就可以。
配置语句如下:

[JR_SW]dhcp snooping enable
[JR_SW]interface g1/0/1
[JR_SW-GigabitEthernet1/0/1]dhcp snooping trust
[JR_SW-GigabitEthernet1/0/1]dhcp snooping binding record

5.验证下配置dhcp snooping后的PC情况:关闭核心SW,再次重启PC_4。可以看到,PC_4获取到的地址为:169.254.4.0/16,这表明该PC已经无法正常获取到dhcp地址。
在这里插入图片描述


总结

在核心交换机有配置dhcp的情况下,与核心交换机相连的汇聚或者接入交换机配置dhcp snooping来避免这种情况是常规且必要的网络配置技巧。
原创文档,若有错误或改进之处,麻烦指点修正。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/35984.html

(0)
编程小号编程小号

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注