配置dhcp snooping 防止终端用户获取到非法IP地址

最新推荐文章于 2024-06-22 19:15:13 发布
最新推荐文章于 2024-06-22 19:15:13 发布
阅读量1.7k 收藏 8
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 华为路由交换 文章标签: tcp/ip 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44854017/article/details/122038659
本文介绍如何通过配置DHCP Snooping来确保网络中终端只能从合法DHCP服务器获取IP地址,防止非法IP导致的网络问题。具体步骤包括创建DHCP地址池、设置端口类型及启用DHCP Snooping等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

拓扑图
请添加图片描述
1、分别在两个三层交换机上创建全局DHCP地址池,配置请参考下面链接:

DHCP配置

2、为了模拟真实环境,合法DHCP的GE0/0/2口为trunk,其余端口均为access

3、配置dhcp snooping

dhcp snooping enable  //全局打开snooping

4、在与合法dhcp服务器对连端口配置为信任

interface Ethernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10
 dhcp snooping trusted   //配置为信任端口

基本配置已完成,这样交换机只会接受信任端口的DHCP报文,以此来防止终端获取到非法IP地址而导致不能正常上网。

DHCP高阶应用系列之《dhcp-snooping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址
weixin_44645270的博客
07-18 2887
DHCP高阶操作系列之《dhcp-snoping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址
DHCP + DHCP snooping
weixin_51045259的博客
01-22 581
DHCP DHCP协议需求背景 减少错误 通过配置DHCP,把手工配置IP地址所导致的错误减少到最低程度,例如已分配的IP地址再次分配给另一设备所造成的地址冲突等将大大减少。 减少网络管理 TCP/IP配置是集中化和自动完成的,不需要网络管理员手工配置网络管理员能集中定义全局和特定子网的TCP/IP配置信息。 使用DHCP选项可以自动给客户机分配全部范围的附加TCP/IP配置值。客户机配置地址变化必须经常更新,比如远程访问客户机经常到处移动,这样便于它在新的地点重新启动时,高效而又自动地进行配置。 同
H3C交换机禁止非法DHCP获取IP配置方法
02-06
H3C交换机禁止非法DHCP获取IP配置方法
域控DHCP服务器拒绝指定MAC获取IP地址
友人A的博客
08-17 4598
需求: 需要拒绝某个设备获取DHCP分配的ip地址 一、DHCP服务器 1、在对应网络域里面找到想要拒绝客户端设备的MAC或者IP地址,然后点击添加到筛选器-拒绝,然后再删除了客户端设备获取IP地址,释放IP。 2、启用筛选器的拒绝,查看列表 3、也可以手动输入MAC地址 4、如果设备是已经获取IP地址,再添加拒绝的的话不会立即生效。 如果是PC,需要在cmd窗口输入...
使用交换机的dhcp snooping拒绝非法dhcp服务
weixin_34152820的博客
05-12 1465
我在2010年8月的时候,在陕西某化工集团做了一个园区网的项目,记得当时整个园区的大的架构做完以后,甲方要求,宿舍楼的网络要求做出更改,由原来的静态的分配ip地址变更为DHCP自动获取。 其实此次变更还是蛮顺利的,在将核心交换机上配置DHCP的服务之后,3栋公寓楼的vlan101-106总共6个vlan,大部分计算机都可以正常获取ip地址正常上网了,在vlan1...
华三交换机排除非法dhcp 命令
04-17
交换机通过以太网端口GigabitEthernet1/0/1连接到合法DHCP服务器,通过以太网端口GigabitEthernet1/0/3连接到非法DHCP服务器,通过GigabitEthernet1/0/2连接到DHCP客户端。 要求: 与合法DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文。记录DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文中DHCP客户端IP地址及MAC地址的绑定信息。
交换机DHCP如何实现屏蔽某个MAC地址
Welcome To OpenClouds World !!!
05-22 2575
这样就全局限制了 1C1B-0DE4-B9C5 这个MAC地址访问内网,进入黑洞后这个IP地址已经ping不通了。#设置需要禁止的MAC地址。#查看黑洞里的MAC地址。#解除黑洞里的MAC地址
DHCP snooping
qq_42342531的博客
01-07 1533
DHCP snooping基本功能简介: DHCP snoopingDHCP(Dynamic Host Configuration Protocol,动态主机配置协议)的一种安全特性,主要具有如下两种功能: 1.记录DHCP客户端MAC地址IP地址的对应关系: 出于安全性的考虑,网络管理员可能需要记录用户上网时所用的IP地址,确认用户主机MAC地址和从DHCP服务器获取IP地址的对应关...
华为配置DHCP Snooping防止DHCP Server仿冒者攻击示例
专研计算机网络,数据通信,网络安全,系统集成
03-07 1879
在一次DHCP客户端动态获取IP地址的过程中,DHCP Snooping会对客户端和服务器之间的DHCP报文进行分析和过滤。通过合理的配置实现对非法服务器的过滤,防止用户端获取非法DHCP服务器提供的地址而无法上网。网络中有个别终端用的是Windows Server 2003或者2008系统,默认开启了DHCP分配IP的服务。一些接入层的端口连接有开启了DHCP分配IP服务的无线路由器。我们推荐在用户接入层交换机上面部署DHCP Snooping功能,越靠近PC端口控制的越准确。
解决IP地址冲突的完美方法--DHCP SNOOPING
03-26
当终端设备尝试获取IP地址时,DHCP Snooping会在非信任端口上拦截所有DHCP请求,并仅允许来自合法DHCP服务器的响应。 #### 配置实例 以下是一个具体的配置实例,展示了如何在一个Cisco设备上启用DHCP Snooping功能...
公司无线路由器干扰dhcp服务器吗,解决同网段多个非法DHCP干扰IP地址正确分配滴问题...
weixin_35977770的博客
08-06 2012
问题背景:开放的局域网内,可以上网的IP由单位的DHCP分配,可是有人私自接入自己的无线路由器,又不关闭路由器的DHCP功能,就导致了同一个局域网内有多个DHCP服务器在工作,能不能被分配到可以上网的IP地址,就只能看运气了。因为无法知晓是谁接入的路由器,所以也就无从获取配置非法路由器的权限。因此,一旦被非法路由器分配到了错误的IP地址,我们就只能手动给设备分配正确的IP地址了。偶尔也可以通过断线...
路由设备充当非法DHCP服务器定位方案
XWL1992的专栏
11-22 764
确定非法DHCP服务器设备IP地址 故障电脑上使用arp –a 命令查看物理地址信息列表,找到上述IP地址对应的mac地址; 进入接入层交换机,使用display mac-address mac命令查看交换机mac地址表项,找到该设备接入端口; 找到该接口所对应的办公室并取缔。 ...
华为交换使用技术防止非法DHCP服务器
城下深蓝的博客
04-03 1795
华为交换使用技术防止非法DHCP服务器
见招拆招,轻松限制不明客户端DHCP服务器获取IP地址
weixin_34190136的博客
10-19 328
故事背景: 作为一个网络管理员,站在公司立场其实并不应该开放 DHCP 给任何一台计算机自由连上公司网络, 但因为环境需要又不得不架设 DHCP 给一些临时的测试机来使用, 所以只好设定在每台计算机名称至少要包含自己的名字足以提供网管辨认这样的制度。 但就是有人很不受教, 计算机名称老是取一些让我无法辨认的字符串, 或者在上班时间直接用手机连接公司网络...
DHCP snooping防范非法的服务器
weixin_34060741的博客
03-31 434
一、dhcp snooping的原理dhcp snooping在交换机上配置完成;而且必须指明在哪个vlan上进行监听,没有监听的vlan不受规则限制。交换机上开启snooping后,交换机任何一个接口的dhcp服务器都不能提供服务。因此需要在开启了dhcp snooping的交换机定义两类接口:1、可信任接口:连接dhcp服务器的接口或上联接口2、不可信任接口:连接客户端的...
DHCP SNOOPING总结 非常全了,
大任的网络专栏
04-27 4483
DHCP SNOOPING总结 www.net130.com     日期:2007-12-6    浏览次数:9863 出处:互联网 在cisco设备中的配置 在cisco网络环境下,boot request在经过了启用DHCP SNOOPING特性的设备上时,会在DHCP数据包中插入option 82的选项(具体见RFC3046) 这个时候,boot reques
华为eNSP DHCP中继 、DHCP Snooping安全及配置
qq_63822856的博客
06-22 2223
ensp模拟器,DHCP中继的配置,DHCP安全问题和问题解决方法。
【转载】网络安全之非法DHCP处理
tfdg126的专栏
08-03 6072
网络安全是我们的重点关注对象。很多网络中,都存在着这样活着那样的安全问题。那么今天我们主要讨论一下非法DHCP所带来的安全问题,以及相关的防范措施。 1、非法DHCP带来的灾害: 一般公司内部都会有一个DHCP服务器来给员工计算机提供必要的网络参数信息的,例如IP地址,子网掩码,网关,DNS等地址,很多情况路由器就可以担当此重任。每次员工计算机启动后都会向网络中发送广播包寻找DHCP服务器(前
局域网IP地址非法使用解决问题
weixin_33739646的博客
11-15 719
在大多数局域网的运行管理工作中,网络管理员负责管理用户IP地址的分配,用户通过正确地注册后才被认为是合法用户。在局域网上任何用户使用未经授权的IP地址都应视为IP非法使用。但在Windows操作系统中,终端用户可以自由修改IP地址的设置,从而产生了IP地址非法使用的问题。改动后的IP地址在局域网中运行时可能出现的情况如下。 a. 非法IP地址IP地址不在规划的局域...
思科2960交换机配置dhcp snooping方法
最新发布
06-06
Switch(config)# no ip dhcp snooping information option // 关闭Option 82(防止伪造报文) ``` --- ### **步骤 2:配置信任端口** > **关键原则**:连接合法DHCP服务器或上层交换机的端口必须设为信任端口 ```...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值