前言
DHCP Snooping是DHCP的一种安全特性,主要应用在交换机上,作用是屏蔽接入网络中的非法的DHCP服务器。即开启DHCP Snooping功能后,网络中的客户端只有从管理员指定的DHCP服务器获取IP地址。
在园区网中,办公网段一般会用核心交换机采取dhcp地址池分配。在某些情况下,内部人员可能会私接路由器上外网,这就有可能导致办公网段的dhcp地址不能正常获取,使办公电脑不能正常上网或者导致网络瘫痪。
拓扑图及拓扑说明
用HCL模拟器来演示下,下图为拓扑图。
拓扑说明:SW为核心交换机,JR_SW为接入交换机,RT为私接路由器,PC_4和PC_5位办公网段PC。办公网段为:192.168.10.0/24,私接路由器网段为:192.168.1.0/24
相关配置
1.配置核心SW的dhcp地址池(192.168.10.0/24),配置完成后开启PC的dhcp获取,由下图可以看到,PC_4和PC_5地址能够正常获取到。
配置语句如下:
[SW]dhcp enable
[SW]interface Vlan-interface 1
[SW-Vlan-interface1]ip address 192.168.10.1 24
[SW]dhcp server ip-pool 1
[SW-dhcp-pool-1]gateway-list 192.168.10.1
[SW-dhcp-pool-1]network 192.168.10.0 mask 255.255.255.0
2.配置私接路由器的dhcp(实际情况中私接路由器默认网段一般都为192.168.1.0/24)。
配置语句如下:
[RT]dhcp enable
[RT]interface Vlan-interface 1
[RT-Vlan-interface1]ip add 192.168.1.1 24
[RT]dhcp server ip-pool 1
[RT-dhcp-pool-1]gateway-list 192.168.1.1
[RT-dhcp-pool-1]network 192.168.1.0 mask 255.255.255.0
[RT]interface g0/0
[RT-GigabitEthernet0/0]port link-mode bridge
3.重启PC_4和PC_5,可以看到,PC_5获取到的是私接路由器的dhcp地址,在这种情况下,PC_5就存在上不了网络的情况。
4.配置接入SW的dhcp snooping,缺省情况下,在开启DHCP Snooping功能后,设备的所有端口均为不信任端口,因此在开启全局DHCP Snooping后,只需配置g1/0/1口为trust口就可以。
配置语句如下:
[JR_SW]dhcp snooping enable
[JR_SW]interface g1/0/1
[JR_SW-GigabitEthernet1/0/1]dhcp snooping trust
[JR_SW-GigabitEthernet1/0/1]dhcp snooping binding record
5.验证下配置dhcp snooping后的PC情况:关闭核心SW,再次重启PC_4。可以看到,PC_4获取到的地址为:169.254.4.0/16,这表明该PC已经无法正常获取到dhcp地址。
文章来源:https://www.toymoban.com/news/detail-439411.html
总结
在核心交换机有配置dhcp的情况下,与核心交换机相连的汇聚或者接入交换机配置dhcp snooping来避免这种情况是常规且必要的网络配置技巧。
原创文档,若有错误或改进之处,麻烦指点修正。文章来源地址https://www.toymoban.com/news/detail-439411.html
到了这里,关于H3C_DHCP_snooping的配置的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
