H3C S3100-SI系列交換機利用DHCP Snooping防止內網私自接入DHCPServer

時間 2019-11-06

標籤 h3c s3100 系列交換機利用 dhcp snooping 防止私自 dhcpserver 欄目 C&C++ 简体版

原文原文鏈接

H3C 3100 SI系列的交換機與其餘高端系列相比，功能方面相對弱了不少，而DHCP Snooping 功能支持也有差別。服務器

正常狀況下，設備啓用了DHCP Snooping以後，全部端口都屬於不受信任端口，咱們能夠將直接或者間接鏈接至DHCPSnooping的端口經過 "dhcp-snooping trust"命令設置爲信任端口，其餘端口則默認屬於不受信任端口，這樣就能夠經過dhcp ack和dhcp offer 包來屏蔽掉非法的dhcp server.ide

而3100 SI系列啓用dhcp snooping後，默認全部端口都是可信任端口。這樣就致使了單純啓用dhcp snooping 起不到屏蔽非法dhcp server的做用。oop

所以 3100 SI系列交換機多了一項DHCP防僞冒功能，這個功能的原理就是交換機會從啓用防僞冒功能的端口向外發送DHCP-DISCOVER報文，用於探測鏈接到該端口的DHCP服務器，若是接收到迴應報文DHCP-OFFER報文，則認爲該端口鏈接了仿冒的DHCP服務器，交換機會根據配置的處理策略進行處理，一般能夠配置的策略爲trap和shutdown。日誌

配置很是簡單：code

#全局啓用dhcp snooping:
[6FB-S3100-57]dhcp-snooping
#在直接鏈接dhcp 客戶端的端口上啓用防僞冒功能和處理策略
[6FB-S3100-57-Ethernet1/0/33]dhcp-snooping server-guard enable

[6FB-S3100-57-Ethernet1/0/33]dhcp-snooping server-guard method shutdown

當對應端口接入非法dhcp server 後，交換機會自動將端口管理型shutdown.
看一下日誌：server

2018-05-10 14:01:55 Local7.Alert    172.16.1.57 May 10 14:01:55 2018 6FB-S3100-57 %%10DHCP-SNP/2/DHCPSNOOPING SERVER GUARD(t):- 1 -  Trap 1.3.6.1.4.1.2011.10.2.36.2.0.1(h3cDhcpSnoopSpoofServerDetected): portIndex 4227882 detect DHCP server in VLAN 4 MAC is 1c.39.47.c6.a8.a2 IP is 172.16.4.21  
2018-05-10 14:01:55 Local7.Warning  172.16.1.57 May 10 14:01:55 2018 6FB-S3100-57 %%10DHCP-SNP/5/dhcp-snooping server guard(l):- 1 -   Port 33 detect DHCP server in VLAN 4 MAC is 1c39-47c6-a8a2 IP is 172.16.4.21   
2018-05-10 14:01:56 Local7.Alert    172.16.1.57 May 10 14:01:56 2018 6FB-S3100-57 %%10L2INF/2/PORT LINK STATUS CHANGE(t):- 1 -  Trap 1.3.6.1.6.3.1.1.5.3(linkDown): portIndex is 4227882, ifAdminStatus is 2, ifOperStatus is 2 
2018-05-10 14:01:56 Local7.Warning  172.16.1.57 May 10 14:01:56 2018 6FB-S3100-57 %%10L2INF/5/PORT LINK STATUS CHANGE(l):- 1 -  Ethernet1/0/33 is DOWN

這樣咱們能夠經過監控平臺監控交換機的端口管理狀態（正常爲1，管理性關閉變爲2）便可及時知道哪些端口介入了非法DHCP Server,以下圖示blog