DHCP snooping防范非法的服务器

一、dhcp snooping的原理

dhcp snooping在交换机上配置完成;而且必须指明在哪个vlan上进行监听,没有监听的vlan不受规则限制。交换机上开启snooping后,交换机任何一个接口的dhcp服务器都不能提供服务。因此需要在开启了dhcp snooping的交换机定义两类接口:

1、可信任接口:连接dhcp服务器的接口或上联接口

2、不可信任接口:连接客户端的接口,默认下接客户端的全为不可信任接口。

交换机只接受合法的服务器发过来的dhcp消息,drop非法的服务器发过来的dhcp消息。

dhcp snooping需要注意的是:

1、交换机开启dhcp snooping后默认会开启中继效果,而且中继是无法关闭的

2、开启中继的交换机,会将dhcp请求包的giaddr值设置为0.0.0.0

3、dhcp服务器要能对giaddr为0.0.0.0的请求包做应答:  dhcpserver(config-if)#ip dhcp relay information trusted

4、如果是dhcp服务器在远程网络,还需要配置 dhcpserver(config-if)#ip helper-address x.x.x.x

二、实验

1、拓扑图:

R2作为合法的dhcp server上的配置:
interface FastEthernet5/0/17
 no switchport
 ip dhcp relay information trusted
 ip address 10.1.1.1 255.255.255.0
ip dhcp excluded-address 10.1.1.1
!
ip dhcp pool sw2
   network 10.1.1.0 255.255.255.0
   default-router 10.1.1.1
   lease 0 0 1
R3作为非法的dhcp server上的配置:
interface FastEthernet1/0/3
 no switchport
 ip address 20.1.1.1 255.255.255.0
ip dhcp excluded-address 20.1.1.1
!
ip dhcp pool sw3
   network 20.1.1.0 255.255.255.0
   default-router 20.1.1.1
   lease 0 0 1
开启了dhcp snooping的交换机的配置:
ip dhcp snooping vlan 1
ip dhcp snooping

interface FastEthernet1/0/17
 switchport mode access
 ip dhcp snooping trust
 
interface FastEthernet1/0/3 !开启snooping后默接口都是不信任端口
 switchport mode access

开启dhcp snooping特性后,client只能从合法的服务器出得到IP地址。

C:\Users\Administrator>ping 10.1.1.1

Pinging 10.1.1.1 with 32 bytes of data:
Reply from 10.1.1.1: bytes=32 time=3ms TTL=255
Reply from 10.1.1.1: bytes=32 time=1ms TTL=255
Reply from 10.1.1.1: bytes=32 time=1ms TTL=255
Reply from 10.1.1.1: bytes=32 time=2ms TTL=255
时间: 2024-10-11 16:12:45

DHCP snooping防范非法的服务器的相关文章

(三)Cisco dhcp snooping实例1-单交换机(DHCP服务器和DHCP客户端位于同一VLAN)

环境:cisco dhcp server和客户端都属于vlan27,dhcp server 接在交换机G0/1,客户端接在交换机的G0/2 cisco dhcp server相关配置 ip dhcp pool vlan27 network 192.168.27.0 255.255.255.0 default-router 192.168.27.1 dns-server 192.168.27.1 interface Vlan27 ip dhcp relay information trusted

(五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)

试验拓扑 环境:dhcp server和dhcp客户端属于同vlan,但是客户端属于不同的交换机,在L2和L3交换机开启dhcp snooping后得出如下结论 L3交换机的配置 ip dhcp pool vlan27 network 172.28.27.0 255.255.255.0 default-router 172.28.27.254 dns-server 172.28.28.15 ! ! ip dhcp snooping vlan 27ip dhcp snooping informat

(四)Cisco dhcp snooping实例2-多交换机环境(DHCP服务器和DHCP客户端位于不同VLAN)

试验拓扑 环境:dhcp server和客户端处于不同网段的情况 dhcp server的配置 no ip routing ip dhcp pool vlan27 network 172.28.27.0 255.255.255.0 default-router 172.28.27.254 dns-server 172.28.28.15 172.28.28.16 ip default-gateway 172.28.28.254 L3-switch的配置 interface Vlan27 ip dh

DHCP的基本介绍以及在HC3上配置DHCP中继和DHCP snooping

一.DHCP简介DHCP全称是 Dynamic Host Configuration Protocol﹐中文名为动态主机配置协议,它的前身是 BOOTP,它工作在OSI的应用层,是一种帮助计算机从指定的DHCP服务器获取它们的配置信息的自举协议.DHCP使用客户端/服务器模式,请求配置信息的计算机叫做DHCP客户端,而提供信息的叫做DHCP的服务器.DHCP为客户端分配地址的方法有三种:手工配置.自动配置.动态配置.DHCP最重要的功能就是动态分配.除了IP地址,DHCP分组还为客户端提供其他的

DHCP Snooping的实现

DHCP Snooping的实现 主要作用:1.防止在动态获得IP地址的网络环境中用户手动配置PC的IP地址;2.防止A用户的PC静态配置的IP地址顶掉B用户PC动态获得的IP地址的网络访问权;3.防止在动态获得IP地址的网络环境中,内网私自架设非法的DHCP服务器,导致内网合法用户得到没有访问网络能力的IP地址; 前提:在讲这个技术前,首先我们按理想中的网络结构划分,分为核心层.汇聚层.接入层:核心设备与汇聚设备之间启动了路由协议,汇聚成为它下连vlan的DHCP Server,接入层是纯2层

H3C S3100-SI系列交换机利用DHCP Snooping防止内网私自接入DHCPServer

H3C 3100 SI系列的交换机与其他高端系列相比,功能方面相对弱了很多,而DHCP Snooping 功能支持也有差异. 正常情况下,设备启用了DHCP Snooping之后,所有端口都属于不受信任端口,我们可以将直接或者间接连接至DHCPSnooping的端口通过 "dhcp-snooping trust"命令设置为信任端口,其他端口则默认属于不受信任端口,这样就可以通过dhcp ack和dhcp offer 包来屏蔽掉非法的dhcp server. 而3100 SI系列启用dh

DHCP、DHCP Snooping及DHCP relay工作原理入门及实践

序:DHCP服务相对简单,写本文的目的是为了讲一些DHCP安全方面的技术. 1.DHCP基础 DHCP 全称动态主机配置协议(Dynamic Host Configuration Protocol),用于给终端设备如PC.IPad.手机等自动分配IP地址.工作过程简洁高效,易于掌握,首先借着一张图介绍DHCP基本的工作原理: 从图上可以清晰看出,客户端通过DHCP协议获取IP地址等信息的过程可以分为四个步骤: 1.1发现阶段,即DHCP客户端发现DHCP服务器的阶段. DHCP客户端发送DHCP

DHCP Relay DHCP Snooping

一.DHCP Relay简介用DHCP Relay代理可以去掉在每个物理的网段都要有DHCP服务器的必要,它可以传递消息到不在同一个物理子网的DHCP服务器,也可以将服务器的消息传回给不在同一个物理子网的DHCP客户机.二.DHCP Relay原理1 当dhcp client 启动并进行dhcp 初始化时,它会在本地网络广播配置请求报文.2 如果本地网络存在dhcp server,则可以直接进行dhcp 配置,不需要dhcp relay.3 如果本地网络没有dhcp server,则与本地网络相

DHCP snooping

DHCP snooping 技术介绍 DHCP监听(DHCP Snooping)是一种DHCP安全特性.Cisco交换机支持在每个VLAN基础上启用DHCP监听特性.通过这种特性,交换机能够拦截第二层VLAN域内的所有DHCP报文. 通过开启DHCP监听特性,交换机限制用户端口(非信任端口)只能够发送DHCP请求,丢弃来自用户端口的所有其它DHCP报文,例如DHCP Offer报文等.而且,并非所有来自用户端口的DHCP请求都被允许通过,交换机还会比较DHCP 请求报文的(报文头里的)源MAC地