华为企业交换机,用DHCP SNOOPING防止私接小路由实验

导语:

在企业中,数据的安全一向是重要的,为了防止客户端私接小路由影响企业内部网络,华为企业交换机有这样的命令

Dhcp snooping 

思路:

合法的DHCP客户端使用,dhcp snooping trusted

不合法的DHCP客户端使用,dhcp snooping enable

实验:

我们假设这样的一个场景,在企业网络架构中。核心交换机(CORE)下接了接入交换机(ACCESS),然后有非法客户端DHCP交换机(UNTRUST)接了接入交换机(ACCESS)的G0/0/24端口,拓补图如下。

实验思路:

CORE:创建VLAN 10,VLAN 20,分别配置VLAN10 ,VLAN 20的网段,为192.168.10.254,192.168.20.254,在G0/0/1端口做trunk,透传VLAN 10 ,20.

ACCESS:创建vlan10,20,使得PC1和PC2分别属于VLAN 10 ,20 ,并在G0/0/3,G0/0/24端口做trunk,透传VLAN10 ,20

UNTRUST:创建vlan10 ,20,创建VLANIF地址池,vlan10,192.168.100.254,vlan20 192.168.200.254,在G0/0/24端口下透传VLAN10,vlan20

实验目的:

当同时存在两个DHCP客户端的时候,且地址池都是VLAN10或VLAN20的地址池,那么PC获取地址的时候默认获取哪个地址池的呢?显然是可以获取到仿冒客户端的IP地址的,这也是我们不希望看到的。

我们尝试用dhcp snooping enbale等命令,验证被trust的端口才能合法获取IP地址,untrust端口获取不到它的地址。

本次实验上最终实现的就是,当ACCESS,G0/0/3端口是,dhcp snooping trusted 的时候,G0/0/24端口是dhcp snooping enable 的时候,PC1准确的获取到了CORE核心DHCP客户端的地址,而不是非法的仿冒客户端地址。

下面请看详细代:

ACCESS(接入交换机):

  1. sysname ACCESS
  2. #
  3. undo info-center enable
  4. #
  5. vlan batch 10 20
  6. #
  7. dhcp enable
  8. #
  9. dhcp snooping enable
  10. #
  11. interface GigabitEthernet0/0/1
  12.  port link-type access
  13.  port default vlan 10
  14.  dhcp snooping enable
  15. #
  16. interface GigabitEthernet0/0/2
  17.  port link-type access
  18.  port default vlan 20
  19. #
  20. interface GigabitEthernet0/0/3
  21.  port link-type trunk
  22.  undo port trunk allow-pass vlan 1
  23.  port trunk allow-pass vlan 10 20
  24.  dhcp snooping trusted
  25. #
  26. interface GigabitEthernet0/0/24
  27.  port link-type trunk
  28.  undo port trunk allow-pass vlan 1
  29.  port trunk allow-pass vlan 10 20
  30.  dhcp snooping enable
  31. #

CORE(核心交换机):

  1. #
  2. sysname CORE
  3. #
  4. undo info-center enable
  5. #
  6. vlan batch 10 20
  7. #
  8. dhcp enable
  9. #
  10. interface Vlanif10
  11.  ip address 192.168.10.254 255.255.255.0
  12.  dhcp select interface
  13. #
  14. interface Vlanif20
  15.  ip address 192.168.20.254 255.255.255.0
  16.  dhcp select interface
  17. #
  18. interface GigabitEthernet0/0/1
  19.  port link-type trunk
  20.  undo port trunk allow-pass vlan 1
  21.  port trunk allow-pass vlan 10 20
  22. #

UNTRUST(私接小路由):

  1. #
  2. sysname UNTRUST
  3. #
  4. undo info-center enable
  5. #
  6. vlan batch 10 20
  7. #
  8. #
  9. dhcp enable
  10. #
  11. interface Vlanif10
  12.  ip address 192.168.100.254 255.255.255.0
  13.  dhcp select interface
  14. #
  15. interface Vlanif20
  16.  ip address 192.168.200.254 255.255.255.0
  17.  dhcp select interface
  18. #
  19. interface GigabitEthernet0/0/24
  20.  port link-type trunk
  21.  undo port trunk allow-pass vlan 1
  22.  port trunk allow-pass vlan 10 20
  23. #

我们注意到,在CORE和UNTRUNST的DHCP客户端同时存在VLAN10,20的地址池时,

CORE交换机上面的vlan10,vlan20,网段分别是192.168.10.254,192.168.20.254,

untrust交换机上面的VLAN10,VLAN20的网关分别是192.168.100.254,192.168.200.254.

我们做实验时,默认不开启DHCPsnoop ing的时候,同样是VLAN10,PC端获取到的居然时仿冒客户端的IP地址,这不是我们希望看到的,我们希望PC能从核心客户端获取地址,

我们将上联核心交换机的端口改为dhcp snooping trust ,其他所有端口都开启dhcp snooping,然后PC再也不会获取到仿冒客户段的IP地址,是不是很神奇。

TIP:值得注意的是,在接入交换机上,我们应该将所有的端口都使能dhcp snooping enable,而不是全局使能

我们可以用这样的命令批量使得全部端口变成dhcp snooping enable,然后某个信任端口单独修改,去能dhcp snooping ,然后修改端口为trust.

#port-grop A //创建一个名”A”的组

#portgroup meber G0/0/1 to G0/0/24 //组成员是,G0/0/1至G0/0/24

#dhcp snooping enable //使能dhcp snooping

小知识:

快速在CMD只获取和释放IP地址的命令

ipconfig /release 释放

ipconfig /renew获取

您可能还喜欢...