H3C S3100-SI系列交換機利用DHCP Snooping防止內網私自接入DHCPServer
阿新 • • 發佈:2018-05-10
dhcp snoopingH3C 3100 SI系列的交換機與其他高端系列相比,功能方面相對弱了很多,而DHCP Snooping 功能支持也有差異。
正常情況下,設備啟用了DHCP Snooping之後,所有端口都屬於不受信任端口,我們可以將直接或者間接連接至DHCPSnooping的端口通過 "dhcp-snooping trust"命令設置為信任端口,其他端口則默認屬於不受信任端口,這樣就可以通過dhcp ack和dhcp offer 包來屏蔽掉非法的dhcp server.
而3100 SI系列啟用dhcp snooping後,默認所有端口都是可信任端口。 這樣就導致了單純啟用dhcp snooping 起不到屏蔽非法dhcp server的作用。
因此 3100 SI系列交換機多了一項DHCP防偽冒功能,這個功能的原理就是交換機會從啟用防偽冒功能的端口向外發送DHCP-DISCOVER報文,用於探測連接到該端口的DHCP服務器,如果接收到回應報文DHCP-OFFER報文,則認為該端口連接了仿冒的DHCP服務器,交換機會根據配置的處理策略進行處理,通常可以配置的策略為trap和shutdown。
配置非常簡單:
#全局啟用dhcp snooping: [6FB-S3100-57]dhcp-snooping #在直接連接dhcp 客戶端的端口上啟用防偽冒功能和處理策略 [6FB-S3100-57-Ethernet1/0/33]dhcp-snooping server-guard enable [6FB-S3100-57-Ethernet1/0/33]dhcp-snooping server-guard method shutdown
當對應端口接入非法dhcp server 後,交換機會自動將端口管理型shutdown.
看一下日誌:
2018-05-10 14:01:55 Local7.Alert 172.16.1.57 May 10 14:01:55 2018 6FB-S3100-57 %%10DHCP-SNP/2/DHCPSNOOPING SERVER GUARD(t):- 1 - Trap 1.3.6.1.4.1.2011.10.2.36.2.0.1(h3cDhcpSnoopSpoofServerDetected): portIndex 4227882 detect DHCP server in VLAN 4 MAC is 1c.39.47.c6.a8.a2 IP is 172.16.4.21 2018-05-10 14:01:55 Local7.Warning 172.16.1.57 May 10 14:01:55 2018 6FB-S3100-57 %%10DHCP-SNP/5/dhcp-snooping server guard(l):- 1 - Port 33 detect DHCP server in VLAN 4 MAC is 1c39-47c6-a8a2 IP is 172.16.4.21 2018-05-10 14:01:56 Local7.Alert 172.16.1.57 May 10 14:01:56 2018 6FB-S3100-57 %%10L2INF/2/PORT LINK STATUS CHANGE(t):- 1 - Trap 1.3.6.1.6.3.1.1.5.3(linkDown): portIndex is 4227882, ifAdminStatus is 2, ifOperStatus is 2 2018-05-10 14:01:56 Local7.Warning 172.16.1.57 May 10 14:01:56 2018 6FB-S3100-57 %%10L2INF/5/PORT LINK STATUS CHANGE(l):- 1 - Ethernet1/0/33 is DOWN
這樣我們可以通過監控平臺監控交換機的端口管理狀態(正常為1,管理性關閉變為2)即可及時知道哪些端口介入了非法DHCP Server,如下圖示
H3C S3100-SI系列交換機利用DHCP Snooping防止內網私自接入DHCPServer