华为DHCPSnooping配置实例.docx

DHCP Snooping配置介绍DHCP Snooping的原理和配置方法，并给出配置举例。配置DHCP Snooping的攻击防范功能示例组网需求如图9-13所示，SwitchA与SwitchB为接入设备，SwitchC为DHCP Relay。Client1与Client2分别通过GE0/0/1与GE0/0/2接入SwitchA，Client3通过GE0/0/1接入SwitchB，其中Client1与Client3通过DHCP方式获取IPv4地址，而Client2使用静态配置的IPv4地址。网络中存在非法用户的攻击导致合法用户不能正常获取IP地址，管理员希望能够防止网络中针对DHCP的攻击，为DHCP用户提供更优质的服务。图9-13配置DHCP Snooping的攻击防范功能组网图配置思路采用如下的思路在SwitchC上进行配置。使能DHCP Snooping功能并配置设备仅处理DHCPv4报文。 配置接口的信任状态，以保证客户端从合法的服务器获取IP地址。 使能ARP与DHCP Snooping的联动功能，保证DHCP用户在异常下线时实时更新绑定表。 使能根据DHCP Snooping绑定表生成接口的静态MAC表项功能，以防止非DHCP用户攻击。 使能对DHCP报文进行绑定表匹配检查的功能，防止仿冒DHCP报文攻击。 配置DHCP报文上送DHCP报文处理单元的最大允许速率，防止DHCP报文泛洪攻击。 配置允许接入的最大用户数以及使能检测DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段是否一致功能，防止DHCP Server服务拒绝攻击。 操作步骤使能DHCP Snooping功能。 # 使能全局DHCP Snooping功能并配置设备仅处理DHCPv4报文。HUAWEI system-view[HUAWEI] sysnameSwitchC[SwitchC] dhcp enable[SwitchC] dhcp snooping enable ipv4# 使能用户侧接口的DHCP Snooping功能。以GE0/0/1接口为例，GE0/0/2的配置相同，此处省略。[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] dhcp snooping enable[SwitchC-GigabitEthernet0/0/1] quit配置接口的信任状态：将连接DHCP Server的接口状态配置为“Trusted”。 [SwitchC] interface gigabitethernet 0/0/3[SwitchC-GigabitEthernet0/0/3] dhcp snooping trusted[SwitchC-GigabitEthernet0/0/3] quit使能ARP与DHCP Snooping的联动功能。 [SwitchC] arpdhcp-snooping-detect enable使能根据DHCP Snooping绑定表生成接口的静态MAC表项功能。 # 在用户侧接口进行配置。以GE0/0/1接口为例，GE0/0/2的配置相同，此处省略。[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] dhcp snooping sticky-mac[SwitchC-GigabitEthernet0/0/1] quit使能对DHCP报文进行绑定表匹配检查的功能。 # 在用户侧接口进行配置。以GE0/0/1接口为例，GE0/0/2的配置相同，此处省略。[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] dhcp snooping check dhcp-request enable[SwitchC-GigabitEthernet0/0/1] quit配置DHCP报文上送DHCP报文处理单元的最大允许速率为90pps。 [SwitchC] dhcp snooping check dhcp-rate enable[SwitchC] dhcp snooping check dhcp-rate 90使能检测DHCP Request报文中GIADDR字段是否非零的功能。 # 在用户侧接口进行配置。以GE0/0/1接口为例，GE0/0/2的配置相同，此处省略。[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] dhcp snooping check dhcp-gi