溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

華為DHCP SNOOPING配置

發(fā)布時間:2020-07-02 05:04:09 來源:網(wǎng)絡(luò) 閱讀:15805 作者:baiguoping 欄目:安全技術(shù)

配置思路

1.使能DHCP Snooping功能。

2.配置接口的信任狀態(tài),以保證客戶端從合法的服務(wù)器獲取IP地址。

3.使能ARP與DHCPSnooping的聯(lián)動功能,保證DHCP用戶在異常下線時實時更新綁定表。

4.使能根據(jù)DHCP Snooping綁定表生成接口的靜態(tài)MAC表項功能,以防止非DHCP用戶***。

5.使能對DHCP報文進行綁定表匹配檢查的功能,防止仿冒DHCP報文***。

6.配置DHCP報文上送DHCP報文處理單元的最大允許速率,防止DHCP報文泛洪***。

7.配置允許接入的最大用戶數(shù)以及使能檢測DHCP Request

操作步驟

1.使能DHCP Snooping功能。

[SwitchC] dhcp enable

[SwitchC]dhcp snooping enable

2.使能用戶側(cè)接口的DHCP Snooping功能。

[SwitchC] dhcp snooping enable vlan 1 to 100(或直接在接口啟用如下)

[SwitchC] interface gigabitethernet 0/0/1

[SwitchC-GigabitEthernet0/0/1] dhcp snooping enable

3.配置接口的信任狀態(tài):將連接DHCP Server的接口狀態(tài)配置為“Trusted”。接dhcp的端口和交換機級聯(lián)端口需要配置

[SwitchC] interface gigabitethernet 0/0/3

[SwitchC-GigabitEthernet0/0/3]dhcp snooping trusted

4.使能ARP與DHCPSnooping的聯(lián)動功能。

[SwitchC]arp dhcp-snooping-detect enable

5.使能對DHCP報文進行綁定表匹配檢查的功能。

[SwitchC] interface gigabitethernet0/0/1

[SwitchC-GigabitEthernet0/0/1] dhcp snooping check dhcp-request enable

6.配置DHCP報文上送DHCP報文處理單元的最大允許速率為10pps。

[SwitchC] dhcp snooping check dhcp-rate enable

[SwitchC] dhcp snooping check dhcp-rate 10

7.配置接口允許接入的最大用戶數(shù)。

[SwitchC] interface gigabitethernet 0/0/1

[SwitchC-GigabitEthernet0/0/1] dhcp snooping max-user-number 2

8.配置丟棄報文告警和報文限速告警功能。

# 使能丟棄報文告警功能,并配置丟棄報文告警閾值。以GE0/0/1接口為例,GE0/0/2的配置相同

[SwitchC] interface gigabitethernet 0/0/1

[SwitchC] dhcp snooping alarm dhcp-rate enable

[SwitchC] dhcp snooping alarm dhcp-rate threshold 10

[SwitchC] dhcp snooping check user-bind enable

[SwitchC] dhcp snooping check mac-address enable 使能檢查DHCPRequest報文頭中MAC地址的功能

驗證配置結(jié)果

display dhcp snooping configuration 查看DHCP Snooping的配置信息。

display dhcp snooping interface 查看接口下的DHCP Snooping運行信息。


reset dhcpsnooping user-bind vlan | interface | * 復(fù)位DHCPSnooping綁定表

dhcp snoopinguser-bind autosave file-name 備份DHCPSnooping綁定表。


arp anti-attackcheck user-bind enable

arp anti-attackcheck user-bind alarm enable

arp anti-attackcheck user-bind alarm threshold 10

arp anti-attackcheck user-bind check-item mac-address


ip source checkuser-bind enable 啟用ip源防護

ip source checkuser-bind check-item { ip-address |mac-address | vlan }* 配置IP報文檢查項

ip source checkuser-bind alarm enable 使能IP報文檢查告警功能。

ip source checkuser-bind alarm threshold threshold 配置IP報文檢查告警閾值缺省100。




向AI問一下細節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI