华为eNSP：配置DHCP Snooping

1、什么是DHCP Snooping？

DHCP Snooping是一种网络安全技术，用于防止未经授权的设备在局域网中提供DHCP服务。DHCP（Dynamic Host Configuration Protocol）是一种用于自动分配IP地址和其他网络配置的协议。DHCP Snooping工作原理是通过监视网络中的DHCP消息，确定哪些设备是合法的DHCP服务器，并禁止其他设备提供DHCP服务。DHCP Snooping通常与其他网络安全功能如ARP防护、IP源地址验证等一起使用，以提高网络的安全性和稳定性。

2、DHCP Snooping的作用是啥？

DHCP Snooping的作用是防止网络中的恶意DHCP服务器攻击，以保护网络的安全及稳定性。

DHCP Snooping通过监听网络上的DHCP交互，记录下所有有效的DHCP服务器及其提供的IP地址与MAC地址的对应关系，并将这些信息存储到一个安全的DHCP绑定数据库中。当网络中的主机请求获取IP地址时，交换机会检查其报文中所带的DHCP信息，并与DHCP绑定数据库中的记录进行比对。如果报文中的DHCP服务器信息与数据库中的记录匹配，交换机会将报文转发给请求主机；如果报文中的DHCP服务器信息与数据库中的记录不匹配，交换机会将报文丢弃或转发给指定的端口，并标记其为不受信任的端口。

通过对DHCP交互进行监控和验证，DHCP Snooping可以有效地防止网络中的恶意DHCP服务器攻击，防止非授权的DHCP服务器分配IP地址，防止IP地址冲突和ARP欺骗等网络安全问题的发生。

3、实验拓扑图和实验步骤及命令

 

 

 

实验目的： 
掌握dhcp-snooping的基本配置
实验步骤：
1. 配置合法dhcp服务器以及非法dhcp服务器的dhcp功能
2. 在SW1开启dhcp snooping功能，并且将连接合法
dhcp服务器的端口设置为信任接口
3. 在G0/0/3口设置通过dhcp获取ip地址的最大数量为1，
修改PC1的mac地址，模拟网络攻击

 实验命令：

合法的DHCP服务器

<Huawei>sy
[Huawei]un in e
[Huawei]dhcp enable
[Huawei]sys dhcp server
[dhcp server]int g0/0/0
[dhcp server-GigabitEthernet0/0/0]ip add 10.1.1.254 24    
[dhcp server-GigabitEthernet0/0/0]dhcp select interface 

 非法的DHCP服务器

<Huawei>sy
[Huawei]un in e
[Huawei]sys Attacker
[Attacker]dhcp enable
[Attacker]int g0/0/0
[Attacker-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[Attacker-GigabitEthernet0/0/0]dhcp select interface 

LSW1

<Huawei>sy
[Huawei]un in e
[Huawei]sys SW1
[SW1]dhcp enable    
[SW1]dhcp snooping enable
[SW1]vlan 1
[SW1-vlan1]dhcp snooping enable
[SW1-vlan1]dhcp snooping trusted interface g0/0/1
[SW1]int g0/0/3
[SW1-GigabitEthernet0/0/3]dhcp snooping max-user-number 1

实验测试：

 可以看到PC1在改变MAC地址后在查看IP地址是没有了的，这是因为在PC1和交换机的链接接口上配置了MAC地址表学习数量为1。

四、总结

 总的来说，DHCP Snooping是提升网络中DHCP服务安全性的重要技术手段之一。它通过监控和管理DHCP交互过程，确保只有经过验证的DHCP服务器才能为客户端分配IP地址，从而有效防止了多种针对DHCP的攻击行为

原文地址：https://blog.csdn.net/nankon_/article/details/143478714

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！