首页 > 其他分享 >华为eNSP:配置DHCP Snooping

华为eNSP:配置DHCP Snooping

时间:2024-11-06 15:18:49浏览次数:3  
标签:eNSP Snooping dhcp Huawei 服务器 SW1 DHCP

1、什么是DHCP Snooping?

DHCP Snooping是一种网络安全技术,用于防止未经授权的设备在局域网中提供DHCP服务。DHCP(Dynamic Host Configuration Protocol)是一种用于自动分配IP地址和其他网络配置的协议。DHCP Snooping工作原理是通过监视网络中的DHCP消息,确定哪些设备是合法的DHCP服务器,并禁止其他设备提供DHCP服务。DHCP Snooping通常与其他网络安全功能如ARP防护、IP源地址验证等一起使用,以提高网络的安全性和稳定性。

2、DHCP Snooping的作用是啥?

DHCP Snooping的作用是防止网络中的恶意DHCP服务器攻击,以保护网络的安全及稳定性。

DHCP Snooping通过监听网络上的DHCP交互,记录下所有有效的DHCP服务器及其提供的IP地址与MAC地址的对应关系,并将这些信息存储到一个安全的DHCP绑定数据库中。当网络中的主机请求获取IP地址时,交换机会检查其报文中所带的DHCP信息,并与DHCP绑定数据库中的记录进行比对。如果报文中的DHCP服务器信息与数据库中的记录匹配,交换机会将报文转发给请求主机;如果报文中的DHCP服务器信息与数据库中的记录不匹配,交换机会将报文丢弃或转发给指定的端口,并标记其为不受信任的端口。

通过对DHCP交互进行监控和验证,DHCP Snooping可以有效地防止网络中的恶意DHCP服务器攻击,防止非授权的DHCP服务器分配IP地址,防止IP地址冲突和ARP欺骗等网络安全问题的发生。

3、实验拓扑图和实验步骤及命令

 

 

 

实验目的: 
掌握dhcp-snooping的基本配置
实验步骤:
1. 配置合法dhcp服务器以及非法dhcp服务器的dhcp功能
2. 在SW1开启dhcp snooping功能,并且将连接合法
dhcp服务器的端口设置为信任接口
3. 在G0/0/3口设置通过dhcp获取ip地址的最大数量为1,
修改PC1的mac地址,模拟网络攻击

 实验命令:

合法的DHCP服务器

<Huawei>sy
[Huawei]un in e
[Huawei]dhcp enable
[Huawei]sys dhcp server
[dhcp server]int g0/0/0
[dhcp server-GigabitEthernet0/0/0]ip add 10.1.1.254 24    
[dhcp server-GigabitEthernet0/0/0]dhcp select interface 

 非法的DHCP服务器

<Huawei>sy
[Huawei]un in e
[Huawei]sys Attacker
[Attacker]dhcp enable
[Attacker]int g0/0/0
[Attacker-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[Attacker-GigabitEthernet0/0/0]dhcp select interface 

LSW1

<Huawei>sy
[Huawei]un in e
[Huawei]sys SW1
[SW1]dhcp enable    
[SW1]dhcp snooping enable
[SW1]vlan 1
[SW1-vlan1]dhcp snooping enable
[SW1-vlan1]dhcp snooping trusted interface g0/0/1
[SW1]int g0/0/3
[SW1-GigabitEthernet0/0/3]dhcp snooping max-user-number 1

实验测试:

 可以看到PC1在改变MAC地址后在查看IP地址是没有了的,这是因为在PC1和交换机的链接接口上配置了MAC地址表学习数量为1。

四、总结

 总的来说,DHCP Snooping是提升网络中DHCP服务安全性的重要技术手段之一。它通过监控和管理DHCP交互过程,确保只有经过验证的DHCP服务器才能为客户端分配IP地址,从而有效防止了多种针对DHCP的攻击行为

标签:eNSP,Snooping,dhcp,Huawei,服务器,SW1,DHCP
From: https://blog.csdn.net/nankon_/article/details/143478714

相关文章

  • 【eNSP】企业网络架构实验
    一、实验目的1、熟练掌握交换机的基本配置命令2、熟练掌握vlan原理3、熟练掌握交换机端口模式二、实验内容需求:根据要求利用现有实验设备组建小型局域网三、实验设备1、交换机S3700×4台;2、个人PC×3台;3、服务器×3台;四、实验要求1、将7台PC设备划分为市场部2......
  • Windows-DHCP
    AppSrv、RouterSrv服务DHCP(AppSrv)安装和配置dhcp服务,为办公区域网络提供地址上网。创建地址池名为inside_pool,地址池范围:192.168.0.1-192.168.0.100。根据题目要求正确配置网关和dns信息。配置故障转移设置为“热备用服务器”模式。伙伴服务器“DC2”为“待机”状态。为......
  • 华为eNSP实验:MAC地址漂移
    MAC地址漂移是指在同一个VLAN内,一个MAC地址有两个出接口,并且后学习到的出接口覆盖原出接口的现象。MAC地址漂移是网络设备(如交换机)上的一种现象,它发生在当同一个VLAN内有两个或多个端口学习到同一个MAC地址时,后学习到的MAC地址表项会覆盖原有的表项。这种现象通常意味着网络......
  • 【专有网络VPC】DHCP选项集功能
    通过DHCP选项集功能,您可以为专有网络VPC中的云服务器ECS实例配置域名和DNS服务器IP地址。功能发布及地域支持情况公有云支持的地域区域支持DHCP选项集的地域亚太华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深......
  • eNSP校园网络设计1-基于ensp的XXX第三中学的设计与仿真
    提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档文章目录前言一、校园网现状二、设计思路三、拓扑图四、验证前言一、校园网现状二、设计思路三、拓扑图四、验证......
  • 【eNSP实验设计5】基于eNSP的XXX中学的设计与仿真
    文章目录目录需求分析拓扑图设计验证目录`需求分析每个楼栋划分一个VLAN,楼栋内互通,各楼栋根据ACL规则实现互通。内网使用私网IP,为每个楼栋分配一个24位掩码长度的私网段,实现上网。楼栋主机采用DHCP自动获取地址,减少管理员手动分配的任务量,方便管理与维护。运行OS......
  • DHCP
    APPSRV、ISPSRV和ROUTERSRV服务DCHP为InsideCli客户端网络分配地址,地址池范围:192.168.0.110-192.168.0.190/24。域名解析服务器:按照实际需求配置DNS服务器地址选项。网关:按照实际需求配置网关地址选项。为InsideCli分配固定地址为192.168.0.190/24。设置默认租约时间为0.5......
  • DHCP服务器
    一.基础知识:1.DHCP简介:DHCP(DynamicHostConfigurationProtocol,动态主机配置协议)通常被应用在大型的局域网络环境中,主要作用是集中的管理、分配IP地址,使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率。2.DHCP服务器简介:DHCP......
  • 组网技术-vlan+DHCP组网[华为、华三]
    配置概述如上图所示:LSW4是三层交换机,我们将会在LSW4上创建VLAN与DHCP服务下面两台终端使用DHCP服务即可连接由于有VLAN因此默认两个终端是无法进行通信的,所以利用vlan接口的ip地址充当两台终端的网关,这样双方就能进行通信左边:网络地址192.168.1.0/24网关192.168.1.254......
  • 毕业设计—基于eNSP多校区校园网的VPN构建
    本文为例文,仅供各位同学学习参考使用,完整文档+拓扑可私信作者获取。如需定制也可私信作者了解相关内容。目录摘 要Abstract1 绪论1.1项目背景1.2项目现状1.3项目目的1.4项目结构安排2 项目采用的主用技术介绍2.1技术可行性分析2.2网络设计......