華為裝置DHCP snooping配置

2021-10-23 22:37:03 字數 3541 閱讀 3302

1.pc可以從指定dhcpserver獲取到ip位址;

2.防止其他非法的dhcp server影響網路中的主機;

開啟了dhcp snooping的裝置將使用者(dhcp客戶端)的dhcp請求報文通過信任介面傳送給合法的dhcp伺服器。之後裝置根據dhcp伺服器回應的dhcp ack報文資訊生成dhcp snooping繫結表。後續裝置再從開啟了dhcp snooping的介面接收使用者發來的dhcp報文時,會進行匹配檢查,能夠有效防範非法使用者的攻擊。

簡單一句話,就是ip位址只能從我指定的信任介面獲取,其它介面發過來的報文我都不信任,不接受,也不分配ip位址。

使能dhcp snooping功能的順序是

先使能全域性下的dhcp snooping功能

再使能介面下或vlan下的dhcp snooping功能

在三層交換上部署dhcp server

sys


dhcp enable


#inte***ce vlanif1091


dhcp select global


#inte***ce vlanif1092


dhcp select global


#inte***ce vlanif1093


dhcp select global


#inte***ce vlanif1094


dhcp select global##


ip pool 1091


gateway-list 10.180.109.1


network 10.180.109.0 mask 255.255.255.192##


ip pool 1092


gateway-list 10.180.109.65


network 10.180.109.64 mask 255.255.255.192


#ip pool 1093


gateway-list 10.180.109.129


network 10.180.109.128 mask 255.255.255.192


#ip pool 1094


gateway-list 10.180.109.193


network 10.180.109.192 mask 255.255.255.192
在三層交換配置dhcp snooping

全域性模式下開啟dhcp snooping


sysenter system view, return user view with ctrl+z.


[huawei]dhcp enable


info: the operation may take a few seconds. please wait for a moment.done.


[huawei]dhcp snooping enable


[huawei]port-group all_port


[huawei-port-group-all_port]group-member gi 0/0/1 to gi 0/0/48


^error: wrong parameter found at '^' position.


介面下開啟dhcp snooping


[huawei-port-group-all_port]group-member gi 0/0/1 to gi 0/0/8


[huawei-port-group-all_port]dis th


#port-group all_port


group-member gigabitethernet0/0/1


group-member gigabitethernet0/0/2


group-member gigabitethernet0/0/3


group-member gigabitethernet0/0/4


group-member gigabitethernet0/0/5


group-member gigabitethernet0/0/6


group-member gigabitethernet0/0/7


group-member gigabitethernet0/0/8


#return


[huawei-port-group-all_port]


[huawei-port-group-all_port]dhcp snooping enable


[huawei-gigabitethernet0/0/1]dhcp snooping enable


[huawei-gigabitethernet0/0/2]dhcp snooping enable


[huawei-gigabitethernet0/0/3]dhcp snooping enable


[huawei-gigabitethernet0/0/4]dhcp snooping enable


[huawei-gigabitethernet0/0/5]dhcp snooping enable


[huawei-gigabitethernet0/0/6]dhcp snooping enable


[huawei-gigabitethernet0/0/7]dhcp snooping enable


[huawei-gigabitethernet0/0/8]dhcp snooping enable


[huawei-port-group-all_port]
二層交換與三層交換(dhcp server)相連介面配置為dhcp snooping trust

其他介面均開啟dhcp snooping enable

sys


enter system view, return user view with ctrl+z.


[l2-sw-1]dhcp enable


info: the operation may take a few seconds. please wait for a moment.done.


[l2-sw-1]


[l2-sw-1]dhcp snooping enable


[l2-sw-1]int gi 0/0/1


[l2-sw-1-gigabitethernet0/0/1]dhcp snooping trust


[l2-sw-1-gigabitethernet0/0/1]q


[l2-sw-1]port-group all_access


[l2-sw-1-port-group-all_access]group-member gi 0/0/2 to gi 0/0/3


[l2-sw-1-port-group-all_access]dhcp snooping enable


[l2-sw-1-gigabitethernet0/0/2]dhcp snooping enable


[l2-sw-1-gigabitethernet0/0/3]dhcp snooping enable


[l2-sw-1-port-group-all_access]

華為裝置的ACL

acl access control list 就是為了控制訪問許可權,是應用在路由器介面的指令列表。他是根據提前設定的一系列規則來控制流量的出入,通常是對第三層第四層的資料報的某些字段進行過濾,從而到達訪問控制。五個元素可以概況,源位址,目標位址,源埠,目標埠,udp或tcp。分類和編號範圍 引數...

華為主流裝置

1.最新一代是sx700系列 包含s1700 s2700 s3700 s5700 s7700和s9700七大系列 s9300系列交換機也是目前主流高階交換機系列,可全方位的瞞足於個人 小型企業使用者,中小型和大型企業園區網。以及各種規模資料中心的不同網路環境,不同應用場景的客戶需求。sx700系列新...

華為裝置配置acl,nat

實驗拓撲 實驗過程 1.根據拓撲圖配置對應介面ip。2.給路由器配置rip協議,宣告網段。r1 rip r1 rip 1 network 192.168.1.0 r1 rip 1 network 192.168.2.0 r2 rip r2 rip 1 network 192.168.4.0 r2 r...