9.3 DHCP: snooping

最新推荐文章于 2025-03-13 08:53:09 发布
最新推荐文章于 2025-03-13 08:53:09 发布
阅读量593 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 二层交换
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ldg513783697/article/details/106797220
本文介绍DHCP Snooping的作用及配置方法,包括防御中间人攻击和泛洪攻击的策略。通过详细步骤展示了思科与华为设备上的配置流程,如开启服务、设置信任接口、限制非信任接口速率等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

1.作用

dhcp中间人攻击:攻击者在网络中放置非法的dhcp服务器,并用于提供伪造的地址信息。当该子网的用户发送dhcp请求时,非法服务器就可以发送伪造的dhcp信息,当用户主机使用该伪造信息时,就可以截获用户的流量。
dhcp泛洪攻击:非法用户大量发送dhcp 请求报文,耗尽dhcp server 的IP地址数量,使得正常用户无法获取IP地址。
dhcp snooping 用于防范泛洪攻击和中间人攻击。
PS:开启dhcp snooping后,思科和华为设备都是默认接口处于非信任状态。

2.配置

2.1 思科

所用拓扑图如下
在这里插入图片描述

1.开启snooping
SW1(config)#ip dhcp snooping 

2.指定信任vlan
SW1(config)#ip dhcp snooping vlan 3,10-20

3.指定信任接口
SW1(config)#interface ethernet 0/0
SW1(config-if)#ip dhcp  snooping trust --只有信任接口的dhcp响应报文不会被丢弃

4.限制非信任接口dhcp 速率
SW1(config)#int ether0/1
SW1(config-if)#ip dhcp snooping limit  rate 3 ---每秒可接收3个dhcp报文,rate范围1-2048,减少泛洪

2.2 华为

在这里插入图片描述

1.开启服务
[SW]dhcp enable 
[SW]dhcp snooping enable

2.配置信任接口
[SW]int GigabitEthernet 0/0/1
[SW-GigabitEthernet0/0/1]dhcp snooping trusted 

3.gi0/0/2配置,其他接口配置一样
[SW]int GigabitEthernet 0/0/1
[SW-GigabitEthernet0/0/1]dhcp snooping enable  ---接口开启snooping
[SW-GigabitEthernet0/0/2]dhcp snooping check dhcp-rate 3 --限制每秒发送的dhcp报文数量,减缓泛洪攻击
[SW-GigabitEthernet0/0/1]dhcp snooping check dhcp-giaddr enable ---用于中继角色检测
什么是DHCP Snooping?如何配置DHCP Snooping
网络技术联盟站
06-14 444
功能描述防护类型防御伪造 DHCP 服务器、避免地址冲突、增强网络安全性使用场景企业园区网、校园网、大型局域网配合机制IP Source Guard、DAI、防止 ARP 欺骗部署难度⭐⭐(简单)“DHCP Snooping,是内网 DHCP 安全防护的第一道门神。” 🛡️。
3万字智慧工业园区整体解决方案
zuoan1993的博客
10-25 790
目  录第一章 概述 1.1 整体概述 1.2 工业园区网络建设的关键点 1.3 安全可靠 1.4 高质量 1.5 可持续发展 第二章 华为工业园区网设计的原则 2.1 需求分析 2.2 建网目标与原则 2.3 可管理性 2.4 可增值性 2.5 可扩充性 2.6 开放性 2.7 安全可靠性 2.8 完善的qos机制 2.9华为园区网络架构 第三章 工业园区网整体解决方案 3.1 华为ONE net整体解决方案 3.2 工业园区网络整体网络拓扑图 3.3 整体网络拓扑图描述 3.4 出口的
DHCP snooping
qq_42342531的博客
01-07 1533
DHCP snooping基本功能简介: DHCP snoopingDHCP(Dynamic Host Configuration Protocol,动态主机配置协议)的一种安全特性,主要具有如下两种功能: 1.记录DHCP客户端MAC地址与IP地址的对应关系: 出于安全性的考虑,网络管理员可能需要记录用户上网时所用的IP地址,确认用户主机MAC地址和从DHCP服务器获取的IP地址的对应关...
DHCP Snooping
最新发布
fanjinhong_8521的博客
03-13 988
是一种网络安全特性,主要用于防止DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)相关的攻击,如DHCP欺骗(DHCP Spoofing)和ARP欺骗(ARP Spoofing)。只允许接收DHCP客户端的请求包(如DHCP Discover、DHCP Request),而丢弃来自非信任端口的DHCP服务器响应包。记录合法的DHCP租约信息(IP地址、MAC地址、端口、VLAN等),用于后续的网络安全检查(如动态ARP检测)。
my cloud test bed (by quqi99)
技术并艺术着
03-10 1999
若容器里如果上不了网,如无法访问api.snapcraft.io,是因为lxd容易默认使用了eth1上的dns=10.10.10.1,下面的配置可让eth0, eth1, eth2都默认使用dns=192.168.99.1来避免特色网络对api.snapcraft.io的污染。下列netplan配置创建了br-eth0,也让br-eth0支持wol通过魔术包唤醒,也创建了一个没有dhcp的br-maas用于maas实验。
迪普LSW3003系列工业交换机用户配置手册
05-18
- **启用SNOOPING功能**:防止非法DHCP服务器。 - **信任端口设置**:标记安全端口。 **8.4 DHCP地址信息列表** - **查看分配信息**:显示已分配给客户端的IP地址详情。 #### 九、QoS配置 **9.1 ACL配置** - **三...
MA5680T&MA5683T;_调测和配置指南(V800R008C05_01)
03-27
前 言...................................................................................................................................................ii 1 调测..........................................
《H3CNE实验手册》——H3C初学者实验的指南
dsdouy的专栏
09-12 4565
《H3CNE实验手册》是一本全面讲解H3CNE教程中所涉及的相关实验技术的辅导教材。   《H3CNE实验手册》针对H3CNE考试的最新要求,设计了一系列的实验,对典型拓扑环境中的H3C路由器和交换机的各种配置、查看和监测操作进行了详细记录及讲解。通过对本书的学习,读者可以精通H3CNE认证考试所要求的相关实验技术和技能,同时通过实验及演示加深对官方教程的理解。   全书包括20章和两个附录,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值