1.pc可以從指定dhcpserver獲取到ip位址;
2.防止其他非法的dhcp server影響網路中的主機;
開啟了dhcp snooping的裝置將使用者(dhcp客戶端)的dhcp請求報文通過信任介面傳送給合法的dhcp伺服器。之後裝置根據dhcp伺服器回應的dhcp ack報文資訊生成dhcp snooping繫結表。後續裝置再從開啟了dhcp snooping的介面接收使用者發來的dhcp報文時,會進行匹配檢查,能夠有效防範非法使用者的攻擊。
簡單一句話,就是ip位址只能從我指定的信任介面獲取,其它介面發過來的報文我都不信任,不接受,也不分配ip位址。
使能dhcp snooping功能的順序是
先使能全域性下的dhcp snooping功能
再使能介面下或vlan下的dhcp snooping功能
在三層交換上部署dhcp server
sys
dhcp enable
#inte***ce vlanif1091
dhcp select global
#inte***ce vlanif1092
dhcp select global
#inte***ce vlanif1093
dhcp select global
#inte***ce vlanif1094
dhcp select global##
ip pool 1091
gateway-list 10.180.109.1
network 10.180.109.0 mask 255.255.255.192##
ip pool 1092
gateway-list 10.180.109.65
network 10.180.109.64 mask 255.255.255.192
#ip pool 1093
gateway-list 10.180.109.129
network 10.180.109.128 mask 255.255.255.192
#ip pool 1094
gateway-list 10.180.109.193
network 10.180.109.192 mask 255.255.255.192
在三層交換配置dhcp snooping
全域性模式下開啟dhcp snooping
sysenter system view, return user view with ctrl+z.
[huawei]dhcp enable
info: the operation may take a few seconds. please wait for a moment.done.
[huawei]dhcp snooping enable
[huawei]port-group all_port
[huawei-port-group-all_port]group-member gi 0/0/1 to gi 0/0/48
^error: wrong parameter found at '^' position.
介面下開啟dhcp snooping
[huawei-port-group-all_port]group-member gi 0/0/1 to gi 0/0/8
[huawei-port-group-all_port]dis th
#port-group all_port
group-member gigabitethernet0/0/1
group-member gigabitethernet0/0/2
group-member gigabitethernet0/0/3
group-member gigabitethernet0/0/4
group-member gigabitethernet0/0/5
group-member gigabitethernet0/0/6
group-member gigabitethernet0/0/7
group-member gigabitethernet0/0/8
#return
[huawei-port-group-all_port]
[huawei-port-group-all_port]dhcp snooping enable
[huawei-gigabitethernet0/0/1]dhcp snooping enable
[huawei-gigabitethernet0/0/2]dhcp snooping enable
[huawei-gigabitethernet0/0/3]dhcp snooping enable
[huawei-gigabitethernet0/0/4]dhcp snooping enable
[huawei-gigabitethernet0/0/5]dhcp snooping enable
[huawei-gigabitethernet0/0/6]dhcp snooping enable
[huawei-gigabitethernet0/0/7]dhcp snooping enable
[huawei-gigabitethernet0/0/8]dhcp snooping enable
[huawei-port-group-all_port]
二層交換與三層交換(dhcp server)相連介面配置為dhcp snooping trust
其他介面均開啟dhcp snooping enable
sys
enter system view, return user view with ctrl+z.
[l2-sw-1]dhcp enable
info: the operation may take a few seconds. please wait for a moment.done.
[l2-sw-1]
[l2-sw-1]dhcp snooping enable
[l2-sw-1]int gi 0/0/1
[l2-sw-1-gigabitethernet0/0/1]dhcp snooping trust
[l2-sw-1-gigabitethernet0/0/1]q
[l2-sw-1]port-group all_access
[l2-sw-1-port-group-all_access]group-member gi 0/0/2 to gi 0/0/3
[l2-sw-1-port-group-all_access]dhcp snooping enable
[l2-sw-1-gigabitethernet0/0/2]dhcp snooping enable
[l2-sw-1-gigabitethernet0/0/3]dhcp snooping enable
[l2-sw-1-port-group-all_access]
華為裝置的ACL
acl access control list 就是為了控制訪問許可權,是應用在路由器介面的指令列表。他是根據提前設定的一系列規則來控制流量的出入,通常是對第三層第四層的資料報的某些字段進行過濾,從而到達訪問控制。五個元素可以概況,源位址,目標位址,源埠,目標埠,udp或tcp。分類和編號範圍 引數...
華為主流裝置
1.最新一代是sx700系列 包含s1700 s2700 s3700 s5700 s7700和s9700七大系列 s9300系列交換機也是目前主流高階交換機系列,可全方位的瞞足於個人 小型企業使用者,中小型和大型企業園區網。以及各種規模資料中心的不同網路環境,不同應用場景的客戶需求。sx700系列新...
華為裝置配置acl,nat
實驗拓撲 實驗過程 1.根據拓撲圖配置對應介面ip。2.給路由器配置rip協議,宣告網段。r1 rip r1 rip 1 network 192.168.1.0 r1 rip 1 network 192.168.2.0 r2 rip r2 rip 1 network 192.168.4.0 r2 r...