前 言:

设备开启DHCP Snooping后将客户端的DHCP请求报文通过信任接口发送给合法的DHCP服务器。之后设备根据DHCP服务器回应的DHCP ACK报文信息生成DHCP Snooping绑定表。后续设备再从开启了DHCP Snooping的接口接收用户发来的DHCP报文时,会进行匹配检查,能够有效防范非法用户的攻击。
简单一句话,就是IP地址只能从我指定的信任接口获取,其它接口发过来的报文我都不信任,不接受,也不分配IP地址。

实 验:

在企业网络架构中,架设一台DHCP服务器下接一台接入层交换机SW 1,然而企业内有人私接路由器,来仿冒DHCP服务器,从而导致企业网内部计算机获取的非法IP地址而无法上网,网络拓扑如下:

华为DHCP Snooping配置教程-风君雪科技博客

SW1配置命令:

<Huawei>system-view        #进入系统视图
[Huawei]undo info-center enable        #关闭信息中心
[Huawei]sysname sw1        #重命名为SW1
[sw1]dhcp enable        #开启DHCP服务
[sw1]dhcp snooping enable        #开启dhcp snooping服务
[sw1]port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/24        #将G0/0/1~G0/0/24端口加入端口组
[sw1-port-group]dhcp snooping enable        #批量开启端口snooping
[sw1-port-group]quit        #退出端口组
[sw1]interface GigabitEthernet 0/0/1        #进入G0/0/1端口
[sw1-GigabitEthernet0/0/1]undo dhcp snooping enable        #删除端口snooping服务
[sw1-GigabitEthernet0/0/1]dhcp snooping trusted        #开启端口信任,只有这个端口分配的IP地址才会接受
[sw1-GigabitEthernet0/0/1]quit           #退出

查看端口DHCP信息:display dhcp snooping configuration

可以看到只有G0/0/1接口是可信任的端口,其他端口全部开启dhcp snooping

华为DHCP Snooping配置教程-风君雪科技博客

AR1上配置DHCP服务:

<Huawei>system-view        #进入系统视图
[Huawei]undo info-center enable        #关闭信息中心
[Huawei]sysname AR1        #重命名为AR1
[AR1]interface GigabitEthernet 0/0/0        #进入G0/0/0
[AR1-GigabitEthernet0/0/0]ip address 1.1.1.1 24        #配置接口IP
[AR1-GigabitEthernet0/0/0]dhcp select global        #dhcp开启全局
[AR1-GigabitEthernet0/0/0]quit        #退出
[AR1]ip pool office        #创建地址池office
[AR1-ip-pool-office]network 1.1.1.0 mask 24        #地址池网段
[AR1-ip-pool-office]gateway-list 1.1.1.1        #配置网关地址
[AR1-ip-pool-office]dns-list 1.1.1.1 2.2.2.2        #配置DNS地址
[AR1-ip-pool-office]lease day 5        #租期5天
[AR1-ip-pool-office]excluded-ip-address 1.1.1.101 1.1.1.254        #剔除1.1.1.101~1.1.1.254地址不分配

 

AR2上配置DHCP服务:

<Huawei>system-view        #进入系统视图
[R2]undo info-center enable        #关闭信息中心
[Huawei]sysname R2        #重命名为R2
[R2]interface gig0/0/0        #进入G0/0/0接口 
[R2-GigabitEthernet0/0/0]ip address 2.2.2.1 24        #接口配置IP
[R2-GigabitEthernet0/0/0]dhcp select global        #dhcp设为全局
[R2-GigabitEthernet0/0/0]quit        #退出
[R2]ip pool kang        #创建地址池kang
[R2-ip-pool-kang]network 2.2.2.0 mask 24        #地址池配置网段
[R2-ip-pool-kang]gateway-list 2.2.2.1        #配置网关地址
[R2-ip-pool-kang]dns-list 2.2.2.1 2.2.2.2        #配置dns地址
[R2-ip-pool-kang]lease day 1        #租期为1天
[Huawei-ip-pool-kang]excluded-ip-address 2.2.2.101 2.2.2.254      #剔除2.2.2.101~2.2.2.254之间的地址不分配
[R2-ip-pool-kang]quit        #退出

通过配置后可以发现终端设备只能通过信任的接口获取IP地址,其它接口的仿冒分配的ip直接丢弃