h3c交换机怎么阻止非法DHCP？

防DHCP服务器仿冒功能典型配置举例
Switch的端口Ethernet1/0/1与DHCP服务器端相连，端口Ethernet1/0/2，Ethernet1/0/3分别与DHCP Client A、DHCP Client B相连。
在Switch上开启DHCP Snooping功能。
在端口Ethernet1/0/2，Ethernet1/0/3上开启防DHCP服务器仿冒功能。当端口Ethernet1/0/2上发现仿冒DHCP服务器时，发送Trap信息；当端口Ethernet1/0/3上发现仿冒DHCP服务器时，进行管理down *** 作。
为了避免攻击者对探测报文进行策略过滤，配置Switch上防DHCP服务器仿冒功能发送探测报文的源MAC地址为000f-e200-1111（不同于交换机的桥MAC地址）。
# 开启DHCP Snooping功能。
<Switch> system-view
Enter system view, return to user view with Ctrl+Z
[Switch] dhcp-snooping
# 配置防DHCP服务器仿冒的报文发送的源MAC地址为000f-e200-1111。
[Switch] dhcp-snooping server-guard source-mac 000f-e200-1111
# 在端口Ethernet1/0/2上使能防DHCP服务器功能。
[Switch] interface ethernet1/0/2
[Switch-Ethernet1/0/2] dhcp-snooping server-guard enable
# 在端口Ethernet1/0/2上配置防DHCP服务器策略为发送Trap。
[Switch-Ethernet1/0/2] dhcp-snooping server-guard method trap
[Switch-Ethernet1/0/2] quit
# 在端口Ethernet1/0/3上使能防DHCP服务器功能。
[Switch] interface ethernet1/0/3
[Switch-Ethernet1/0/3] dhcp-snooping server-guard enable
# 在端口Ethernet1/0/3上配置防DHCP服务器策略为shutdown。
[Switch-Ethernet1/0/3] dhcp-snooping server-guard method shutdown
有些交换机不支持这种 *** 作，可以开启dhcp snooping后将连了合法dhcp的端口设为trust。

是默认开启的，

网络故障第一时间是客户报障，不能全局发现问题，面向企业园区网络，还一款面向运营商的

SNMP架构：分为NMS和Agent两部分（agent读取内部MIB库）

国际标准定义：MIB2、RMON标准库

agent它是一个进程，主要负责信息采集读取、执行 *** 作，通知，帮助管理站获取信息



一、功能原理



二、工作原理



SNMP的结构包括：NMS网络管理站点、SNMP代理

SNMP规定了NMS和Agent之间如何传递管理信息的应用层协议

Agent只是进程，作用：执行 *** 作、通知



三、消息、版本

V1：三大 *** 作：Read、Write、Trap，Trap唯一是被管设备主动发起的

V2C：批量取数据，

V3：增加了身份验证和加密处理，增强网管安全设置，传输加密，权限控制



SNMP实际上是一个特殊的「要求/响应」协议，可支持两种要求讯息：



get及put,前者是用来从某些节点取出状态信息，而后者则是用来在某些节点上储存一份新的状态信息



通过NMS来更改设备上的配置，查询设备信息，发送的数据包为Get，更改设备的配置为Set（MIB相当于索引）



华为的SNMP的配置步骤



SNMP基本配置流程：

1、配置设备与NMS系统间通信正常（保证路由可达）

2、开启设备SNMP agent功能（缺少为开启）

3、配置snmp协议版本

4、配置设备snmp读写团体名

5、配置设备发送trap报文的参数信息

6、配置设备发送告警和错误码的目的主机

7、配置设备管理员的的位置

Trap告警是被管理设备主动向网管发送告警。以便管理员能够及时发现设备的异常。被管理设备发送Trap告警后，不需要网管进行接收确认。

Web网管支持配置20个Trap目标主机。当配置的Trap目标主机数目超出web网管数目限制时，会d出目标主机列表已满的提示对话框。
*** 作步骤
Trap设置
选择“系统管理 > SNMP > Trap设置”。如图17-24所示。
图17-24 Trap设置界面

在“SNMP Trap”中选择“开启”或者“关闭”。
单击“发送Trap报文的源接口”的源接口选择按钮，配置发送Trap报文的源接口。
当“发送Trap报文的源接口”不正确时或者需要恢复默认时，可以将鼠标放在源接口显示框，点击键盘上的“Backspace”按钮删除源接口。
在d出的“选择接口”对话中，选择源接口有以下两种方式：
在接口列表中，选中所需要的接口前的单选按钮。
在“接口名称”输入接口名称。单击“搜索”。在列出的接口列表中，选中所需要的接口前的单选按钮。
在接口列表数目比较少的时候选择第一种方式，当接口列表数目比较多时选择第二方式。
单击“确定”
如果 *** 作成功，则返回“Trap设置”界面，且“发送Trap报文的源接口”中的信息发生变化，变为所指定的接口。
配置Trap目标主机
新建Trap目标主机
选择“系统管理 > SNMP > Trap设置”。
单击“Trap目标主机”中的“新建”。如图17-25所示。
图17-25 新建Trap目标主机

在d出的“新建Trap目标主机用户”对话框中，依次输入或选择各项参数，如表17-11所示。
单击“确定”。
如果 *** 作成功，则界面返回“Trap目标主机”，且列表中添加新配置项。重复执行上述 *** 作，可添加多个Trap目标主机。
表17-11 主机参数说明
参数
说明
取值建议
目标主机IP地址
指定目的主机的IP地址。
-
目标主机UDP端口号
指定目的主机用于接收Trap报文的端口号。默认值为162。
整数形式，取值范围1～65535。
Trap版本
Trap所对应的SNMP的版本。
有三个版本：
v1。
v2c。
v3。
用户名
对应于“团体/组管理”中的团体名和组名称。
当Trap版本选择v1或者v2c时，选择团体名。
当Trap版本选择v3时，选择组名称。
-
安全级别
当选择为SNMPv3版本时，需要配置安全级别。
有三种选择方式：
不认证不加密。
认证不加密。
认证并加密。
***实例
指定***实例名。
说明：
AR510系列不支持***实例。
-
修改Trap目标主机
选择“系统管理 > SNMP > Trap设置”。
在“Trap目标主机”中单击需要修改的表项所在行的。
在d出的对话框中，重新选择各项参数，如表17-11所示。其中“目标主机IP地址”不可修改。
单击“确定”。
如果 *** 作成功，则界面返回“Trap目标主机”，且列表中对应数据将根据配置发生改变。
删除Trap目标主机
选择“系统管理 > SNMP > Trap设置”。
在“Trap目标主机”中，选择待删除表项前的复选框，或者选中表头中的复选项进行全选。
单击“删除”。
在d出的“提示”对话框中，单击“确定”。
如果 *** 作成功，则界面返回“Trap目标主机”，且列表中将没有刚才选中的表项。

---