返回
华为交换机DHCP snooping配置教程

华为交换机DHCP snooping配置教程

ID:38593680

大小:212.00 KB

页数:14页

时间:2019-06-15

华为交换机DHCP snooping配置教程_第1页
华为交换机DHCP snooping配置教程_第2页
华为交换机DHCP snooping配置教程_第3页
华为交换机DHCP snooping配置教程_第4页
华为交换机DHCP snooping配置教程_第5页
资源描述:

《华为交换机DHCP snooping配置教程》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、华为交换机DHCPsnooping配置教程DHCPSnooping是一种DHCP安全特性,在配置DHCPSnooping各安全功能之前需首先使能DHCPSnooping功能。    使能DHCPSnooping功能的顺序是先使能全局下的DHCPSnooping功能,再使能接口或VLAN下的DHCPSnooping功能。                  图1 配置DHCPSnooping基本功能组网图     如上图1所示,Switch_1是二层接入设备,将用户PC的DHCP请求转发给DHCP服务器。以Swit

2、ch_1为例,在使能DHCPSnooping功能时需要注意:    使能DHCPSnooping功能之前,必须已使用命令dhcpenable使能了设备的DHCP功能。    全局使能DHCPSnooping功能后,还需要在连接用户的接口(如图中的接口if1、if2和if3)或其所属VLAN(如图中的VLAN10)使能DHCPSnooping功能。    当存在多个用户PC属于同一个VLAN时,为了简化配置,可以在这个VLAN使能DHCPSnooping功能。请在二层网络中的接入设备或第一个DHCPRelay上执

3、行以下步骤。1、使能DHCPSnooping功能[Huawei]dhcpsnoopingenable? ipv4 DHCPv4Snooping ipv6 DHCPv6Snooping vlan VirtualLAN  或[Huawei]dhcpsnoopingover-vplsenable   # 使能设备在VPLS网络中的DHCPSnooping功能或[Huawei-vlan2]dhcpsnoopingenable [Huawei-GigabitEthernet0/0/3]dhcpsnoopingen

4、able 2、配置接口信任状态[Huawei-GigabitEthernet0/0/2]dhcpsnoopingtrusted或[Huawei-vlan3]dhcp snooping trustedinterfaceGigabitEthernet0/0/6 3、去使能DHCPSnooping用户位置迁移功能    在移动应用场景中,若某一用户由接口A上线后,切换到接口B重新上线,用户将发送DHCPDiscover报文申请IP地址。    缺省情况下设备使能DHCPSnooping功能之后将允许该用户上线,并刷新

5、DHCPSnooping绑定表。   但是在某些场景中,这样的处理方式存在安全风险,比如网络中存在攻击者仿冒合法用户发送DHCPDiscover报文,最终导致DHCPSnooping绑定表被刷新,合法用户网络访问中断。    此时需要去使能DHCPSnooping用户位置迁移功能,丢弃DHCPSnooping绑定表中已存在的用户(用户MAC信息存在于DHCPSnooping绑定表中)从其他接口发送来的DHCPDiscover报文。[Huawei]undodhcpsnoopinguser-transferenab

6、le 4、配置ARP与DHCPSnooping的联动功能    DHCPSnooping设备在收到DHCP用户发出的DHCPRelease报文时将会删除该用户对应的绑定表项,但若用户发生了异常下线而无法发出DHCPRelease报文时,DHCPSnooping设备将不能够及时的删除该DHCP用户对应的绑定表。    使能ARP与DHCPSnooping的联动功能,如果DHCPSnooping表项中的IP地址对应的ARP表项达到老化时间,则DHCPSnooping设备会对该IP地址进行ARP探测,如果在规定的探测

7、次数内探测不到用户,设备将删除用户对应的ARP表项。之后,设备将会再次按规定的探测次数对该IP地址进行ARP探测,如果最后仍不能够探测到用户,则设备将会删除该用户对应的绑定表项。    只有设备作为DHCPRelay时,才支持ARP与DHCPSnooping的联动功能。[Huawei]arpdhcp-snooping-detectenable 5、配置用户下线后及时清除对应MAC表项功能    当某一DHCP用户下线时,设备上其对应的动态MAC表项还未达到老化时间,则设备在接收到来自网络侧以该用户IP地址为目的

8、地址的报文时,将继续根据动态MAC表项转发此报文。    这种无效的报文处理在一定程度上将会降低设备的性能。    设备在接收到DHCP用户下线时发送DHCPRelease报文后,将会立刻删除用户对应的DHCPSnooping绑定表项。利用这种特性,使能当DHCPSnooping动态表项清除时移除对应用户的MAC表项功能,则当用户下线时,设备将会及时的移除用户的MAC表项。[Huawe

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。