过滤非法DHCP服务器的两种方法

方法一:使用DHCP Snoonping。如果DHCP服务器在核心交换机上,则可以直接全局启动DHCP Snooping来拒绝所有接口的非法DHCP,但不会过滤本身的DHCP服务。
[H3C]dhcp snooping enable

1、如果信任的DHCP服务器在核心GE 1/0/1口,则配置信任接口即可
[H3C]interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]dhcp snooping trust
[H3C-GigabitEthernet1/0/1]quit

2、为了使得接入层从核心交换机获取地址,接入层的上联口也需要配置DHCP信任接口
[SW]dhcp snooping enable
[SW]interface GigabitEthernet 1/0/1
[SW-GigabitEthernet1/0/1]dhcp snooping trust
[SW-GigabitEthernet1/0/1]quit

3、你也可以指定特定vlan:
[SW-vlan1]dhcp snooping trust interface GigabitEthernet 1/0/1

方法二:使用ACL过滤匹配接口来过滤,比较麻烦。
首先抓包分析要过滤什么?
在这里插入图片描述
发现过滤非法DHCP的源端口是UDP:67即可。
1、配置:
[H3C]acl advanced 3000
[H3C-acl-ipv4-adv-3000]rule 5 deny udp source-port eq 67
[H3C-acl-ipv4-adv-3000]quit

[H3C]interface range GigabitEthernet 1/0/2 to GigabitEthernet 1/0/24    #GE 1/0/1口不过滤,信任
[H3C-if-range]packet-filter 3000 inbound    #服务器回offer报文,入方向
[H3C-if-range]quit

2、如有接入层,配置类似:
[SW]acl advanced 3000
[SW-acl-ipv4-adv-3000]rule 5 deny udp source-port eq 67
[SW-acl-ipv4-adv-3000]quit

[SW]interface range GigabitEthernet 1/0/2 to GigabitEthernet 1/0/24    #GE 1/0/1口不过滤,信任
[SW-if-range]packet-filter 3000 inbound    #服务器回offer报文,入方向
[SW-if-range]quit

点赞