交换机配置DHCP
dhcp
server
ip-pool
1
:配置DHCP组1
network
1721510
mask
2552552550
:配置地址池
gateway-list
172151254
:配置网关
dns-list
20210344150
2021032468
:配置DNS
expired
day
10
:配置DHCP过期时间(10天)
配置DHCP中继
#
dhcp-server
1
ip
19216831
interface
Vlan-interface10
ip
address
1721610254
2552552550
dhcp-server
1
防DHCP服务器仿冒功能典型配置举例
Switch的端口Ethernet1/0/1与DHCP服务器端相连,端口Ethernet1/0/2,Ethernet1/0/3分别与DHCP Client A、DHCP Client B相连。
在Switch上开启DHCP Snooping功能。
在端口Ethernet1/0/2,Ethernet1/0/3上开启防DHCP服务器仿冒功能。当端口Ethernet1/0/2上发现仿冒DHCP服务器时,发送Trap信息;当端口Ethernet1/0/3上发现仿冒DHCP服务器时,进行管理down *** 作。
为了避免攻击者对探测报文进行策略过滤,配置Switch上防DHCP服务器仿冒功能发送探测报文的源MAC地址为000f-e200-1111(不同于交换机的桥MAC地址)。
# 开启DHCP Snooping功能。
<Switch> system-view
Enter system view, return to user view with Ctrl+Z
[Switch] dhcp-snooping
# 配置防DHCP服务器仿冒的报文发送的源MAC地址为000f-e200-1111。
[Switch] dhcp-snooping server-guard source-mac 000f-e200-1111
# 在端口Ethernet1/0/2上使能防DHCP服务器功能。
[Switch] interface ethernet1/0/2
[Switch-Ethernet1/0/2] dhcp-snooping server-guard enable
# 在端口Ethernet1/0/2上配置防DHCP服务器策略为发送Trap。
[Switch-Ethernet1/0/2] dhcp-snooping server-guard method trap
[Switch-Ethernet1/0/2] quit
# 在端口Ethernet1/0/3上使能防DHCP服务器功能。
[Switch] interface ethernet1/0/3
[Switch-Ethernet1/0/3] dhcp-snooping server-guard enable
# 在端口Ethernet1/0/3上配置防DHCP服务器策略为shutdown。
[Switch-Ethernet1/0/3] dhcp-snooping server-guard method shutdown
有些交换机不支持这种 *** 作,可以开启dhcp snooping后将连了合法dhcp的端口设为trust。
进入系统视图
[H3C]dhcp server ip-pool h3c
创建DHCP 地址池
[H3C-dhcp-pool-h3c]network 19216810 mask 2552552550
指定可以分配的地址段
[H3C-dhcp-pool-h3c]gateway-list 19216811
指定网关,与lan口的地址一致
[H3C-dhcp-pool-h3c]dns-list 202202202202
指定DNS server地址
[H3C-dhcp-pool-h3c]expired day 0 hour 1 minute 10
DHCP租期时间设置
[H3C-dhcp-pool-h3c]domain-name huawei-3comcom
指定域名
[H3C-dhcp-pool-h3c]quit
[H3C]interface Ethernet1/0
进入到lan口
[H3C-Ethernet1/0]ip address 19216811 2552552550
配置lan口地址
[H3C-Ethernet1/0]quit
[H3C]dhcp server forbidden-ip 19216811
保留网关的地址
[H3C]quit
save
保存配置
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)