华为交换机DHCP snooping配置教程.doc
文档页数:15文档大小:139KB文档格式:doc页眉内容 华为交换机DHCPsnooping配置教程 DHCPSnooping是一种DHCP安全特性,在配置DHCPSnooping各安全功能之 前需首先使能DHCPSnooping功能.
使能DHCPSnooping功能的顺序是先使能全局下的DHCPSnooping功能,再使 能接口或VLAN下的DHCPSnooping功能.
DHCP Client PC_ 二层接入设备 DHCP Server Switch__1 PC_2 PC_3 VLAN 10 图1配置DHCPSnooping基本功能组网图 如上图1所示,Switch_1是二层接入设备,将用户PC的DHCP请求转发给DHCP 服务器.
以Switch_1为例,在使能DHCPSnooping功能时需要注意: 使能DHCPSnooping功能之前,必须已使用命令dhcpenable使能了设备的 DHCP功能.
全局使能DHCPSnooping功能后,还需要在连接用户的接口(如图中的接口 if1、if2和if3)或其所属VLAN(如图中的VLAN10)使能DHCPSnooping功能.
页脚内容1
页眉内容 当存在多个用户PC属于同一个VLAN时,为了简化配置,可以在这个VLAN使能 DHCPSnooping功能.
请在二层网络中的接入设备或第一个DHCPRelay上执行以下步骤.
1、使能DHCPSnooping功能 [Huawei]dhcpsnoopingenable? ipv4DHCPv4Snooping ipv6DHCPv6Snooping vlanVirtual LAN[Huawei]dhcpsnoopingover-vplsenable#使能设备在VPLS网络中的DHCP Snooping功能 [Huawei-vlan2]dhcpsnoopingenable [Huawei-GigabitEtherneto/0/3]dhcp snooping enable 2、配置接口信任状态 页脚内容2
页眉内容 [Huawei-GigabitEthernet0/0/2]dhcp snooping trusted [Huawei-vlan3]dhcpsnooping trusted interfaceGigabitEthernet0/0/6 3、去使能DHCPSnooping用户位置迁移功能 在移动应用场景中,若某一用户由接口A上线后,切换到接口B重新上线,用户将发 送DHCPDiscover报文申请IP地址.
缺省情况下设备使能DHCPSnooping功能之后将允许该用户上线,并刷新DHCP Snooping绑定表.
但是在某些场景中,这样的处理方式存在安全风险,比如网络中存在攻击者仿冒合法 用户发送DHCPDiscover报文,最终导致DHCPSnooping绑定表被刷新,合法用户网 络访问中断.
此时需要去使能DHCPSnooping用户位置迁移功能,丢弃DHCPSnooping绑定 表中已存在的用户(用户MAC信息存在于DHCPSnooping绑定表中)从其他接口发送 来的DHCPDiscover报文.
[Huawei]undodhcpsnooping user-transferenable 4、配置ARP与DHCPSnooping的联动功能 DHCPSnooping设备在收到DHCP用户发出的DHCPRelease报文时将会删除该 用户对应的绑定表项,但若用户发生了异常下线而无法发出DHCPRelease报文时, DHCPSnooping设备将不能够及时的删除该DHCP用户对应的绑定表.
页脚内容3
页眉内容 使能ARP与DHCPSnooping的联动功能,如果DHCPSnooping表项中的IP地址 对应的ARP表项达到老化时间,则DHCPSnooping设备会对该IP地址进行ARP探测, 如果在规定的探测次数内探测不到用户,设备将删除用户对应的ARP表项.
之后,设备 将会再次按规定的探测次数对该IP地址进行ARP探测,如果最后仍不能够探测到用户, 则设备将会删除该用户对应的绑定表项.
只有设备作为DHCPRelay时,才支持ARP与DHCPSnooping的联动功能.
[Huawei]arp dhcp-snooping-detect enable 5、配置用户下线后及时清除对应MAC表项功能 当某一DHCP用户下线时,设备上其对应的动态MAC表项还未达到老化时间,则设 备在接收到来自网络侧以该用户IP地址为目的地址的报文时,将继续根据动态MAC表项 转发此报文.
这种无效的报文处理在一定程度上将会降低设备的性能.
设备在接收到DHCP用户下线时发送DHCPRelease报文后,将会立刻删除用户对 应的DHCPSnooping绑定表项.
利用这种特性,使能当DHCPSnooping动态表项清 除时移除对应用户的MAC表项功能,则当用户下线时,设备将会及时的移除用户的 MAC表项.
[Huawei]dhcpsnoopinguser-offlineremovemac-address 6、配置丢弃GIADDR字段非零的DHCP报文 DHCP报文中的GIADDR(GatewayIpAddress)字段记录了DHCP报文经过的第 个DHCPRelay的IP地址,当客户端发出DHCP请求时,如果服务器和客户端不在同 个网段,那么第一个DHCPRelay在将DHCP请求报文转发给DHCP服务器时,会把 自己的IP地址填入此字段,DHCP服务器会根据此字段来判断出客户端所在的网段地址, 页脚内容4
页眉内容 从而选择合适的地址池,为客户端分配该网段的IP地址.
DHCP Request OHCP Request DHCP Request GIADDRHOPS GIADDRHOPS GIADDRHOPS 0.0.0.0 172.16.1.1 172.16.1.1 VLANIF100 172.16.1.1/24 DHCP Client OHCP Relay1 DHCP Rel DHCP Serw 图1多DHCP中继场景下DHCP报文处理流程(以DHCPRequest报文为 例) 如上图1所示,在为了保证设备在生成DHCPSnooping绑定表时能够获取到用户 MAC等参数,DHCPSnooping功能需应用于二层网络中的接入设备或第一个DHCP Relay上(如图中的DHCPRelay1设备).
故DHCPSnooping设备接收到的DHCP报文中GIADDR字段必然为零,若不为零 则该报文为非法报文,设备需丢弃此类报文.
在DHCP中继使能DHCPSnooping场景 中,建议配置该功能.
通常情况下,PC发出的DHCP报文中GIADDR字段为零.
在某些情况下,PC发出 的DHCP报文中GIADDR字段不为零,可能导致DHCP服务器分配错误的IP地址.
为了 防止PC用户伪造GIADDR字段不为零的DHCP报文申请IP地址,建议配置该功能.
[Huawei]dhcp snooping check dhcp-giaddrenablevlan? INTEGERVirtualLANID [Huawei-vlan5]dhcpsnoopingcheckdhcp-giaddrenable 页脚内容5
本文来自華燈初上投稿,不代表文丁图集立场,如若转载,请注明出处:https://www.2b34.com/blog/123050.html
微信扫一扫 
