华为交换机配置配置DHCP Snooping和IPSG
配置了DHCP功能之后,部门内用户主机可以自动获取地址。但是为了防止员工在内网私自接一个小路由器并开启DHCP自动分配地址的功能,导致内网合法用户获取到了私接的小路由器分配的地址而不能正常上网,还需要配置DHCP Snooping功能。
以下以部门A为例,说明DHCP Snooping的配置过程。
- 在接入交换机ACC1上开启DHCP Snooping功能。
<ACC1> system-view [ACC1] dhcp enable //使能DHCP功能 [ACC1] dhcp snooping enable //使能DHCP Snooping功能
- 在连接DHCP服务器的接口上使能DHCP Snooping功能,并将此接口配置为信任接口。
[ACC1] interface eth-trunk 1 [ACC1-Eth-Trunk1] dhcp snooping enable //使能DHCP Snooping功能 [ACC1-Eth-Trunk1] dhcp snooping trusted //配置为信任接口 [ACC1-Eth-Trunk1] quit
- 在连接终端的接口上使能DHCP Snooping功能。
[ACC1] interface ethernet 0/0/2 //配置连接PC1的接口 [ACC1-Ethernet0/0/2] dhcp snooping enable [ACC1-Ethernet0/0/2] quit [ACC1] interface ethernet 0/0/3 //配置连接PC2的接口 [ACC1-Ethernet0/0/3] dhcp snooping enable [ACC1-Ethernet0/0/3] quit [ACC1] interface ethernet 0/0/4 //配置连接打印机的接口 [ACC1-Ethernet0/0/4] dhcp snooping enable [ACC1-Ethernet0/0/4] quit
完成上述配置之后,部门A的用户就可以从合法的DHCP服务器获取IP地址,内网私接的小路由器分配地址不会干扰到内网正常用户。
为了防止部门内用户私自更改IP地址后攻击网络,在接入交换机开启DHCP Snooping功能后,还需要开启IP报文检查功能,具体配置以ACC1为例。
- 在接入交换机ACC1上开启VLAN10的IP报文检查功能。
[ACC1] vlan10 [ACC1-vlan10] ip source check user-bind enable //使能IP报文检查功能 [ACC1-vlan10] quit
这样ACC1从VLAN10收到报文后会将报文与动态绑定表的表项进行匹配,放行匹配的报文,丢弃不匹配的报文。如果不想对整个VLAN收到的报文进行检查,可以只在连接某个终端的接口上开启IP报文检查功能。
如果网络中采用静态分配IP地址,为防止用户私自修改地址攻击网络,可以配置IP+MAC绑定,配置方法请详见《典型配置举例》中“基础特性典型配置>安全典型配置>IPSG配置”的“配置IPSG防止静态主机私自更改IP地址示例”。
关于交换机防止内网私接小路由器(仿冒DHCP服务器)以及防止用户私自更改IP地址的具体说明及详细配置,请参考《配置指南-安全》中“DHCP Snooping配置>配置DHCP Snooping的基本功能及配置举例”和“IPSG配置>配置IPSG及配置举例”。
阅读剩余
版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/3014.html
文章版权归作者所有,未经允许请勿转载。
THE END
