DHCP Snooping的实现

DHCP Snooping的实现

主要作用:
1.防止在动态获得IP地址的网络环境中用户手动配置PC的IP地址;
2.防止A用户的PC静态配置的IP地址顶掉B用户PC动态获得的IP地址的网络访问权;
3.防止在动态获得IP地址的网络环境中,内网私自架设非法的DHCP服务器,导致内网合法用户得到没有访问网络能力的IP地址;

前提:
在讲这个技术前,首先我们按理想中的网络结构划分,分为核心层、汇聚层、接入层;核心设备与汇聚设备之间启动了路由协议,汇聚成为它下连vlan的DHCP
Server,接入层是纯2层设备。

汇聚交换机:
全局配置模式下
全局启用dhcp snooping
ip dhcp
snooping

在vlan上启用dhcp snooping,这里需要将相关vlan全部启用dhcp
snooping,启用该服务之后,该VLAN内的所有接口,全部被置为非信任状态,丢弃所有不信任端口接收到的DHCP
offer包,所以可以阻止内网私架的DHCP服务器
ip dhcp snooping vlan 100
  
启动防止手工指定IP地址可以上网

Ip arp inspection vlan 100
指定检查源MAC地址与目的MAC地址与IP地址的对应关系,看是否与DHCP
Snooping生成的表匹配
Ip arp inspection validate src-mac dst-mac
ip

此配置之后,由于没有配端口信任,交换机会收到大量非法的DHCP信息包,交换机的自动防护会导致接口处于errdisable状态,为了使接口能正常工作,需要在全局下配置
errdisable
recovery cause
arp-inspection

接口配置模式下
在汇聚交换机下连访问交换机的trunk接口上,配置接口信任DHCP信息包
ip dhcp
snooping trust
配置此命令的目的是为了防止过多的非法ARP包,冲到trunk接口上,致使接口进入err-disable状态
ip
arp inspection limit none
配置此命令的目的是为了信任下连交换机传上来的ARP inspection包
ip arp
inspection trust

接入交换机:
全局配置模式下
ip dhcp snooping
ip dhcp
snooping vlan 100

errdisable recovery cause
arp-inspection

接口配置模式下
在访问交换机上连汇聚交换机的trunk接口上,配置接口信任DHCP信息包
ip dhcp
snooping trust
配置此命令的目的是为了防止过多的非法ARP包,冲到trunk接口上,致使接口进入err-disable状态
ip
arp inspection limit none

DHCP Snooping的实现的更多相关文章

  1. DHCP snooping

    DHCP snooping 技术介绍   DHCP监听(DHCP Snooping)是一种DHCP安全特性.Cisco交换机支持在每个VLAN基础上启用DHCP监听特性.通过这种特性,交换机能够拦截第 ...

  2. Zyxel Switch-How to block a fake DHCP server without enabling DHCP snooping?

    How to block a fake DHCP server without enabling DHCP snooping? Scenario How to block a fake DHCP se ...

  3. h3c dhcp snooping

    1. 组网需求Switch B通过以太网端口Ethernet1/1连接到DHCP服务器,通过以太网端口Ethernet1/2.Ethernet1/3连接到DHCP客户端.要求:l与DHCP服务器相连的 ...

  4. Cisco DHCP Snooping + IPSG 功能实现

    什么是DHCP? DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,前身是BOOTP协议, 使用UDP协议工作,常用的2个端口 ...

  5. dhcp snooping、ARP防护、

    应用场景 无线客户端流动性很大和不确定,比如在外来人员比较多的地方:广场.大厅.会议室和接待室等等.使用该方案可以有效地避免因为无线端出现私设IP地址导致地址冲突或者客户端中ARP病毒发起ARP攻击的 ...

  6. DHCP snooping(DHCP监听)

    DHCP监听可以防范利用DHCP发起的多种攻击行为,如DHCP中间人攻击,伪造多台设备耗尽地址池 DHCP监听允许可信端口上的所有DHCP消息,但是却过滤非可信端口上的DHCP消息,DHCP监听还会在 ...

  7. (四)Cisco dhcp snooping实例2-多交换机环境(DHCP服务器和DHCP客户端位于不同VLAN)

    试验拓扑 环境:dhcp server和客户端处于不同网段的情况 dhcp server的配置 no ip routing ip dhcp pool vlan27 network 172.28.27. ...

  8. (五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)

    试验拓扑 环境:dhcp server和dhcp客户端属于同vlan,但是客户端属于不同的交换机,在L2和L3交换机开启dhcp snooping后得出如下结论 L3交换机的配置 ip dhcp po ...

  9. (三)Cisco dhcp snooping实例1-单交换机(DHCP服务器和DHCP客户端位于同一VLAN)

    环境:cisco dhcp server和客户端都属于vlan27,dhcp server 接在交换机G0/1,客户端接在交换机的G0/2 cisco dhcp server相关配置 ip dhcp ...

随机推荐

  1. 使用Win7 64位旗舰版光盘映像安装Windows Home basic 64位操作系统

    工作当中需要安装Windows home basic 64位操作系统,苦于手头没有该版本的安装光盘,也没时间下载其安装映像.因此,在现有资源“cn_windows_7_ultimate_with_sp ...

  2. [安卓开发板]迅为IMX6 四核Android开发板

    工业级核心板-Android开发板 10层高速PCB设计,充分保证电磁兼容 处理器:开发板默认是四核商业扩展级芯片,可根据用户需求更换单核.双核.工业级.汽车级处理器,批量更省成本. 扩展引脚:320 ...

  3. swift 即使不使用oc的动态派发机制也应该借鉴isa类型识别机制

    目前的消息派发机制真的很鸡肋. 简直是一堆狗屎. 类型信息中包含所有需要动态派发的函数:这个包含两类:类和protocol: 在编译时,首先搜索动态派发列表: 动态派发列表没有,在搜索静态派发列表: ...

  4. MySQL(MMM架构使用)

    本案例要求基于普通版的MySQL服务器改造MMM架构,完成以下任务操作:启动MMM集群架构设置集群中服务器为online状态MySQL-MMM架构部署完成后需要启动,数据库端启动mmm-agent进程 ...

  5. deallocvt - 释放未使用的虚拟终端

    SYNOPSIS(总览) deallocvt [ N1 N2 ... ] DESCRIPTION(描述) 如果不指定参数, deallocvt 程序会释放所有未使用的虚拟终端的核心内存和数据结构. 如 ...

  6. POJ数据的输入输出格式

    POJ在评阅习题时需要向程序提供输入数据,并获取程序的输出结果.因此提交的程序需按照每个习题具体的输入输出格式要求处理输入输出.有的时候,测评系统给出程序的评判结果是“数据错误”或“结果错误”,有可能 ...

  7. Hadoop推测执行机制问题

    问题描述:MultipleOutputs使用时hdfs报错         // :: INFO mapreduce.Job: Task Id : attempt_1525336138932_1106 ...

  8. web.xml的简单解释以及Hello1中web.xml的简单分析

    一.web.xml的加载过程 ①当我们启动一个WEB项目容器时,容器包括(JBoss,Tomcat等).首先会去读取web.xml配置文件里的配置,当这一步骤没有出错并且完成之后,项目才能正常的被启动 ...

  9. vue工程化之项目引入jquery

    既然写项目,那么少不了用jq,那我们就引入进来吧 1.因为已经安装了vue脚手架,所以需要在webpack中全局引入jquery 打开package.json文件,在里面加入这行代码,jquery后面 ...

  10. 第1节 MapReduce入门:11、mapreduce程序的入门-2

    1.5.WordCount示例编写 1.JobMain.java类 package cn.itcast.wordcount; import org.apache.hadoop.conf.Configu ...