H3C S3100-SI系列交换机利用DHCP Snooping防止内网私自接入DHCPServer 2022-03-16 网络 暂无评论 2446 次阅读 H3C 3100 SI系列的交换机与其他高端系列相比,功能方面相对弱了很多,而DHCP Snooping 功能支持也有差异。 正常情况下,设备启用了DHCP Snooping之后,所有端口都属于不受信任端口,我们可以将直接或者间接连接至DHCPSnooping的端口通过 "dhcp-snooping trust"命令设置为信任端口,其他端口则默认属于不受信任端口,这样就可以通过dhcp ack和dhcp offer 包来屏蔽掉非法的dhcp server. 而3100 SI系列启用dhcp snooping后,默认所有端口都是可信任端口。 这样就导致了单纯启用dhcp snooping 起不到屏蔽非法dhcp server的作用。 因此 3100 SI系列交换机多了一项DHCP防伪冒功能,这个功能的原理就是交换机会从启用防伪冒功能的端口向外发送DHCP-DISCOVER报文,用于探测连接到该端口的DHCP服务器,如果接收到回应报文DHCP-OFFER报文,则认为该端口连接了仿冒的DHCP服务器,交换机会根据配置的处理策略进行处理,通常可以配置的策略为trap和shutdown。 配置非常简单: ``` #全局启用dhcp snooping: [6FB-S3100-57]dhcp-snooping #在直接连接dhcp 客户端的端口上启用防伪冒功能和处理策略 [6FB-S3100-57-Ethernet1/0/33]dhcp-snooping server-guard enable [6FB-S3100-57-Ethernet1/0/33]dhcp-snooping server-guard method shutdown ``` 当对应端口接入非法dhcp server 后,交换机会自动将端口管理型shutdown. 看一下日志: ``` 2018-05-10 14:01:55 Local7.Alert 172.16.1.57 May 10 14:01:55 2018 6FB-S3100-57 %%10DHCP-SNP/2/DHCPSNOOPING SERVER GUARD(t):- 1 - Trap 1.3.6.1.4.1.2011.10.2.36.2.0.1(h3cDhcpSnoopSpoofServerDetected): portIndex 4227882 detect DHCP server in VLAN 4 MAC is 1c.39.47.c6.a8.a2 IP is 172.16.4.21 2018-05-10 14:01:55 Local7.Warning 172.16.1.57 May 10 14:01:55 2018 6FB-S3100-57 %%10DHCP-SNP/5/dhcp-snooping server guard(l):- 1 - Port 33 detect DHCP server in VLAN 4 MAC is 1c39-47c6-a8a2 IP is 172.16.4.21 2018-05-10 14:01:56 Local7.Alert 172.16.1.57 May 10 14:01:56 2018 6FB-S3100-57 %%10L2INF/2/PORT LINK STATUS CHANGE(t):- 1 - Trap 1.3.6.1.6.3.1.1.5.3(linkDown): portIndex is 4227882, ifAdminStatus is 2, ifOperStatus is 2 2018-05-10 14:01:56 Local7.Warning 172.16.1.57 May 10 14:01:56 2018 6FB-S3100-57 %%10L2INF/5/PORT LINK STATUS CHANGE(l):- 1 - Ethernet1/0/33 is DOWN ``` 这样我们可以通过监控平台监控交换机的端口管理状态(正常为1,管理性关闭变为2)即可及时知道哪些端口介入了非法DHCP Server,如下图示 ![h3c-s3100-dhcp-snooping.png](https://blog.moper.net/usr/uploads/2022/03/4198069582.png) 转自https://blog.51cto.com/magic3/2114790 标签: h3c 本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。