防止私自接交换机_H3C S3100-SI系列交换机利用DHCP Snooping防止内网私自接入DHCPServer...
H3C 3100 SI系列的交换机与其他高端系列相比,功能方面相对弱了很多,而DHCP Snooping 功能支持也有差异。
正常情况下,设备启用了DHCP Snooping之后,所有端口都属于不受信任端口,我们可以将直接或者间接连接至DHCPSnooping的端口通过 "dhcp-snooping trust"命令设置为信任端口,其他端口则默认属于不受信任端口,这样就可以通过dhcp ack和dhcp offer 包来屏蔽掉非法的dhcp server.
而3100 SI系列启用dhcp snooping后,默认所有端口都是可信任端口。 这样就导致了单纯启用dhcp snooping 起不到屏蔽非法dhcp server的作用。
因此 3100 SI系列交换机多了一项DHCP防伪冒功能,这个功能的原理就是交换机会从启用防伪冒功能的端口向外发送DHCP-DISCOVER报文,用于探测连接到该端口的DHCP服务器,如果接收到回应报文DHCP-OFFER报文,则认为该端口连接了仿冒的DHCP服务器,交换机会根据配置的处理策略进行处理,通常可以配置的策略为trap和shutdown。
配置非常简单:
#全局启用dhcp snooping:
[6FB-S3100-57]dhcp-snooping
#在直接连接dhcp 客户端的端口上启用防伪冒功能和处理策略
[6FB-S3100-57-Ethernet1/0/33]dhcp-snooping server-guard enable
[6FB-S3100-57-Ethernet1/0/33]dhcp-snooping server-guard method shutdown
当对应端口接入非法dhcp server 后,交换机会自动将端口管理型shutdown.
看一下日志:
2018-05-10 14:01:55 Local7.Alert 172.16.1.57 May 10 14:01:55 2018 6FB-S3100-57 %%10DHCP-SNP/2/DHCPSNOOPING SERVER GUARD(t):- 1 - Trap 1.3.6.1.4.1.2011.10.2.36.2.0.1(h3cDhcpSnoopSpoofServerDetected): portIndex 4227882 detect DHCP server in VLAN 4 MAC is 1c.39.47.c6.a8.a2 IP is 172.16.4.21
2018-05-10 14:01:55 Local7.Warning 172.16.1.57 May 10 14:01:55 2018 6FB-S3100-57 %%10DHCP-SNP/5/dhcp-snooping server guard(l):- 1 - Port 33 detect DHCP server in VLAN 4 MAC is 1c39-47c6-a8a2 IP is 172.16.4.21
2018-05-10 14:01:56 Local7.Alert 172.16.1.57 May 10 14:01:56 2018 6FB-S3100-57 %%10L2INF/2/PORT LINK STATUS CHANGE(t):- 1 - Trap 1.3.6.1.6.3.1.1.5.3(linkDown): portIndex is 4227882, ifAdminStatus is 2, ifOperStatus is 2
2018-05-10 14:01:56 Local7.Warning 172.16.1.57 May 10 14:01:56 2018 6FB-S3100-57 %%10L2INF/5/PORT LINK STATUS CHANGE(l):- 1 - Ethernet1/0/33 is DOWN
这样我们可以通过监控平台监控交换机的端口管理状态(正常为1,管理性关闭变为2)即可及时知道哪些端口介入了非法DHCP Server,如下图示
防止私自接交换机_H3C S3100-SI系列交换机利用DHCP Snooping防止内网私自接入DHCPServer...相关推荐
- 防止私自接交换机_防止私接家用路由器干扰DHCP功能,禁止用户手动设置IP地址-肖哥...
如果想禁止私接家用路由器只能采用准入控制+MAC认证技术(802.1x认证.端口安全等)来实现,但是很多场景需要允许家用路由器接入企业网络(例如高校老师办公室想通过wifi上网). 此时如果某用户将家 ...
- IE-4000-16GT4G-E 思科 IE系列交换机
IE-4000-16GT4G-E 思科 IE系列交换机 IE-4000-16GT4G-E 思科 IE系列交换机 特征 效益 坚固的工业设计 ●专为恶劣环境和温度范围(-40 至 70 C)而设计. ● ...
- 实训二十八:交换机 DHCP Snooping 的配置
一.实验目的 1. 了解 DHCP snooping 原理: 2. 熟练掌握交换机 DHCP snooping 的配置方法: 3. 了解该功能的广泛应用. 二.应用环境 1.在 DHCP 的网络环境中 ...
- 6口全千兆二层网管型工业以太网交换机千兆2光4电光纤自愈ERPS环网交换机
HY5700-7524G-X是汉源高科一款绿色低功耗千兆二层工业级以太网交换机,其满载功耗低至8W.支持4个10/100/1000BaseT电口,2个1000Base-X SFP.支持12~52VDC ...
- (五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)...
试验拓扑 环境:dhcp server和dhcp客户端属于同vlan,但是客户端属于不同的交换机,在L2和L3交换机开启dhcp snooping后得出如下结论 L3交换机的配置 ip dhcp po ...
- 开启Cisco交换机DHCP Snooping功能
5.多交换机环境(DHCP服务器和DHCP客户端位于同一VLAN) 环境:3560交换机自身作为DHCP服务器;PC1和PC2都位于vlan 10;PC1接3560的fa0/1口,PC2接2960的f ...
- Cisco Catalyst 2960系列交换机资料
Cisco® Catalyst® 2960系列智能以太网交换机是一个全新的.固定配置的独立设备系列,提供桌面快速以太网和千兆以太网连接,可为入门级企业.中型市场和分支机构网络提供增强LAN服务.Cat ...
- 思科发布全新Catalyst 2960-L系列交换机
2016年11月18日消息,近日,思科宣布推出全新的Catalyst 2960-L系列交换机.该交换机将增强型以太网供电(PoE+)和基本二层特性整合在无风扇的轻薄机身内,即使在空间有限或在配线间外部 ...
- 华为最新全系列交换机命令手册、配置指南下载
华为最新全系列交换机命令手册.配置指南下载 最近经常有午饭上来求华为交换机的命令手册.特别是S9300系列华为是不对普通用户提供下载的.为方便广大午饭小侠特下载和整理了华为最新全系列交换机命令手册.配 ...
最新文章
- Grafana Labs 携手阿里云,将提供国内首款 Grafana 托管服务
- js防止表单重复提交
- N!-201308071627.txt
- tomcat域名绑定设置
- 转载:jQuery 1.3.3 新功能
- 云小课 | 不小心删除了数据库,除了跑路还能咋办?
- 《计算机网络》学习笔记 ·002【物理层】
- 天文软件ds9对图片调整颜色和两张图片坐标自动匹对
- VC++ 源码实现通达信公式管理器2
- 矿工罢工?官方砸盘?FIL暴跌!Filecoin上线后的魔幻7天
- MSP430F149TIMER_A的连续计数模式
- 伪元素学习包含::before、::after的用法
- 在 Beagleboard-x15 上配置 spi 和 GPIO
- webservice:com.sun.xml.internal.ws.server.ServerRtException: [failed to localize]
- 滑动验证码自动化实现(1)
- linux微信最新版无法打开问题解决
- 计算机检测维修与数据恢复招标,计算机检测维修与数据恢复实训室企业招标文件.doc...
- oracle 12c 安装scott,Oracle 12c中添加scott用户的方法
- 睡眠不好有什么办法可以解决?几个快速入睡小妙招
- NSI 脚本 -注册表操作无法正常找到的问题