H3C S3100系列 DHCP Snooping配置举例

文章

本文以实机S3100系列交换机为例,其他型号系列可能有差别

问题场景:接入交换机有人接入非法DHCP设备,导致交换机下所有用户无法正确获取IP地址,无法联网

DHCP Snooping配置步骤

1.进入系统视图

<h3c>system-view

2.全局使能dhcp-snooping功能

[h3c]dhcp-snooping

3.进入端口E1/0/2

[h3c]int E1/0/2

4.把端口E1/0/2配置为信任端口

[h3c-Ethernet1/0/2]dhcp-snooping trust

当交换机开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCPOffer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址

由于DHCP服务器提供给用户包含了服务器分配给用户的IP地址的报文―“dhcp offer”报文,由E1/0/2端口进入交换机并进行转发,因此需要将端口E1/0/2配置为“trust”端口。如果交换机上行接口配置为Trunk 端口,并且连接到DHCP中继设备,也需要将上行端口配置为“trust”端口

5.保存配置

[h3c]save 

6.查看配置

display current-configuration //显示当前生效配置
display saved-configuration  //显示开机后加载的配置
版权声明:本文为下一朵云发布文章,转载请附上原文出处链接和本声明。
本文链接:https://www.orcy.net.cn/1962.html

​ 广告:HCIE-Security认证课程辅导资料(付费)

暂无评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注