当前位置: 首页 > article >正文

华为eNSP:配置DHCP Snooping

1、什么是DHCP Snooping?

DHCP Snooping是一种网络安全技术,用于防止未经授权的设备在局域网中提供DHCP服务。DHCP(Dynamic Host Configuration Protocol)是一种用于自动分配IP地址和其他网络配置的协议。DHCP Snooping工作原理是通过监视网络中的DHCP消息,确定哪些设备是合法的DHCP服务器,并禁止其他设备提供DHCP服务。DHCP Snooping通常与其他网络安全功能如ARP防护、IP源地址验证等一起使用,以提高网络的安全性和稳定性。

2、DHCP Snooping的作用是啥?

DHCP Snooping的作用是防止网络中的恶意DHCP服务器攻击,以保护网络的安全及稳定性。

DHCP Snooping通过监听网络上的DHCP交互,记录下所有有效的DHCP服务器及其提供的IP地址与MAC地址的对应关系,并将这些信息存储到一个安全的DHCP绑定数据库中。当网络中的主机请求获取IP地址时,交换机会检查其报文中所带的DHCP信息,并与DHCP绑定数据库中的记录进行比对。如果报文中的DHCP服务器信息与数据库中的记录匹配,交换机会将报文转发给请求主机;如果报文中的DHCP服务器信息与数据库中的记录不匹配,交换机会将报文丢弃或转发给指定的端口,并标记其为不受信任的端口。

通过对DHCP交互进行监控和验证,DHCP Snooping可以有效地防止网络中的恶意DHCP服务器攻击,防止非授权的DHCP服务器分配IP地址,防止IP地址冲突和ARP欺骗等网络安全问题的发生。

3、实验拓扑图和实验步骤及命令

 

 

 

实验目的: 
掌握dhcp-snooping的基本配置
实验步骤:
1. 配置合法dhcp服务器以及非法dhcp服务器的dhcp功能
2. 在SW1开启dhcp snooping功能,并且将连接合法
dhcp服务器的端口设置为信任接口
3. 在G0/0/3口设置通过dhcp获取ip地址的最大数量为1,
修改PC1的mac地址,模拟网络攻击

 实验命令:

合法的DHCP服务器

<Huawei>sy
[Huawei]un in e
[Huawei]dhcp enable
[Huawei]sys dhcp server
[dhcp server]int g0/0/0
[dhcp server-GigabitEthernet0/0/0]ip add 10.1.1.254 24    
[dhcp server-GigabitEthernet0/0/0]dhcp select interface 

 非法的DHCP服务器

<Huawei>sy
[Huawei]un in e
[Huawei]sys Attacker
[Attacker]dhcp enable
[Attacker]int g0/0/0
[Attacker-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[Attacker-GigabitEthernet0/0/0]dhcp select interface 

LSW1

<Huawei>sy
[Huawei]un in e
[Huawei]sys SW1
[SW1]dhcp enable    
[SW1]dhcp snooping enable
[SW1]vlan 1
[SW1-vlan1]dhcp snooping enable
[SW1-vlan1]dhcp snooping trusted interface g0/0/1
[SW1]int g0/0/3
[SW1-GigabitEthernet0/0/3]dhcp snooping max-user-number 1

实验测试:

 可以看到PC1在改变MAC地址后在查看IP地址是没有了的,这是因为在PC1和交换机的链接接口上配置了MAC地址表学习数量为1。

四、总结

 总的来说,DHCP Snooping是提升网络中DHCP服务安全性的重要技术手段之一。它通过监控和管理DHCP交互过程,确保只有经过验证的DHCP服务器才能为客户端分配IP地址,从而有效防止了多种针对DHCP的攻击行为


http://www.kler.cn/a/380955.html

相关文章:

  • 知乎 PB 级别 TiDB 数据库集群管控实践
  • 计算机基础复习12.23
  • C/C++基础知识复习(43)
  • linux中docker命令大全
  • 深入了解蓝牙Profile类型与设备的对应关系
  • 被裁20240927 --- 嵌入式硬件开发 前篇
  • 梁山派入门指南3——串口使用详解,包括串口发送数据、重定向、中断接收不定长数据、DMA+串口接收不定长数据,以及对应的bsp文件和使用示例
  • 冒泡排序、选择排序、计数排序、插入排序、快速排序、堆排序、归并排序JAVA实现
  • 小新学习k8s第四天之发布管理
  • Pr 视频效果:透视
  • 【Nginx】前端项目开启 Gzip 压缩大幅提高页面加载速度
  • Ant Design Vue 的 a-table 行选择分页时bug处理
  • 官方redis安装
  • React Hooks 为什么不能在 if 语句中使用???
  • 根据提交的二维数据得到mysql建表和插入数据实用工具
  • 全渠道供应链打造中企业定制开发2+1链动模式S2B2C商城小程序的策略与影响
  • 【Python环境配置-Step1】PyCharm 2024最新官网下载、安装教程
  • PyTorch实践-CNN-验证码识别
  • 高可用架构-业务高可用
  • Android Studio:connect time out
  • Redis-基本了解
  • 数学期望和联合概率密度
  • 20241105编译Rockchip原厂的Android13并给荣品PRO-RK3566开发板刷机
  • 软设师知识点-计算机网络
  • CODESYS 输出日志 Log
  • Java如何实现企业微信审批流程