H3C S3100-SI系列交换机利用DHCP Snooping防止内网私自接入DHCPServer

时间 2019-11-06

标签 h3c s3100 系列交换机利用 dhcp snooping 防止私自 dhcpserver 栏目 C&C++ 繁體版

原文原文链接

H3C 3100 SI系列的交换机与其余高端系列相比，功能方面相对弱了不少，而DHCP Snooping 功能支持也有差别。服务器

正常状况下，设备启用了DHCP Snooping以后，全部端口都属于不受信任端口，咱们能够将直接或者间接链接至DHCPSnooping的端口经过 "dhcp-snooping trust"命令设置为信任端口，其余端口则默认属于不受信任端口，这样就能够经过dhcp ack和dhcp offer 包来屏蔽掉非法的dhcp server.ide

而3100 SI系列启用dhcp snooping后，默认全部端口都是可信任端口。这样就致使了单纯启用dhcp snooping 起不到屏蔽非法dhcp server的做用。oop

所以 3100 SI系列交换机多了一项DHCP防伪冒功能，这个功能的原理就是交换机会从启用防伪冒功能的端口向外发送DHCP-DISCOVER报文，用于探测链接到该端口的DHCP服务器，若是接收到回应报文DHCP-OFFER报文，则认为该端口链接了仿冒的DHCP服务器，交换机会根据配置的处理策略进行处理，一般能够配置的策略为trap和shutdown。日志

配置很是简单：code

#全局启用dhcp snooping:
[6FB-S3100-57]dhcp-snooping
#在直接链接dhcp 客户端的端口上启用防伪冒功能和处理策略
[6FB-S3100-57-Ethernet1/0/33]dhcp-snooping server-guard enable

[6FB-S3100-57-Ethernet1/0/33]dhcp-snooping server-guard method shutdown

当对应端口接入非法dhcp server 后，交换机会自动将端口管理型shutdown.
看一下日志：server

2018-05-10 14:01:55 Local7.Alert    172.16.1.57 May 10 14:01:55 2018 6FB-S3100-57 %%10DHCP-SNP/2/DHCPSNOOPING SERVER GUARD(t):- 1 -  Trap 1.3.6.1.4.1.2011.10.2.36.2.0.1(h3cDhcpSnoopSpoofServerDetected): portIndex 4227882 detect DHCP server in VLAN 4 MAC is 1c.39.47.c6.a8.a2 IP is 172.16.4.21  
2018-05-10 14:01:55 Local7.Warning  172.16.1.57 May 10 14:01:55 2018 6FB-S3100-57 %%10DHCP-SNP/5/dhcp-snooping server guard(l):- 1 -   Port 33 detect DHCP server in VLAN 4 MAC is 1c39-47c6-a8a2 IP is 172.16.4.21   
2018-05-10 14:01:56 Local7.Alert    172.16.1.57 May 10 14:01:56 2018 6FB-S3100-57 %%10L2INF/2/PORT LINK STATUS CHANGE(t):- 1 -  Trap 1.3.6.1.6.3.1.1.5.3(linkDown): portIndex is 4227882, ifAdminStatus is 2, ifOperStatus is 2 
2018-05-10 14:01:56 Local7.Warning  172.16.1.57 May 10 14:01:56 2018 6FB-S3100-57 %%10L2INF/5/PORT LINK STATUS CHANGE(l):- 1 -  Ethernet1/0/33 is DOWN

这样咱们能够经过监控平台监控交换机的端口管理状态（正常为1，管理性关闭变为2）便可及时知道哪些端口介入了非法DHCP Server,以下图示blog