问题描述:
单位上一个交换机S5130坏了,送修了,现在找了一个华为的S
组网及组网描述:
您好,参考
使能DHCP Snooping功能
在配置DHCP Snooping功能之前,必须先使能DHCP Snooping功能。
背景信息
使能DHCP Snooping功能的顺序如下所示: 全局使能DHCP功能 全局使能DHCP Snooping功能 在接口、BD或VLAN下使能DHCP Snooping功能操作步骤
对于DHCP Server仿冒者通过二层设备的攻击,在VLAN视图下使能DHCP Snooping功能
执行命令 system-view,进入系统视图。执行命令dhcp enable,全局使能DHCP功能。
执行命令DHCP Snooping enable,全局使能DHCP Snooping功能。
执行命令 vlan vlan-id,进入VLAN视图。执行命令dhcp snooping enable [ interface interface-type interface-number ],使能VLAN的DHCP Snooping功能。
执行命令 quit,返回系统视图。 执行命令 commit,提交配置。BD视图下使能DHCP Snooping功能
执行命令 system-view,进入系统视图。执行命令dhcp enable,全局使能DHCP功能。
执行命令dhcp snooping enable,全局使能DHCP Snooping功能。
执行命令 bridge-domain bd-id,进入BD视图。执行命令dhcp snooping enable,使能BD内的DHCP Snooping功能。
执行命令 commit,提交配置。对于DHCP Server仿冒者通过三层设备的攻击,在接口视图下使能DHCP Snooping功能
执行命令 system-view,进入系统视图。执行命令dhcp enable,全局使能DHCP功能。
执行命令dhcp snooping enable,全局使能DHCP Snooping功能。
执行命令 interface interface-type interface-number,进入接口视图。执行命令dhcp snooping enable,使能接口的DHCP Snooping功能。
执行命令 commit,提交配置。BD视图下使能DHCP Snooping功能
执行命令 system-view,进入系统视图。执行命令dhcp enable,全局使能DHCP功能。
缺省情况下,使能DHCP功能。
执行命令dhcp snooping enable,全局使能DHCP Snooping功能。
缺省情况下,没有全局使能DHCP Snooping功能。
执行命令 bridge-domain bd-id,进入BD视图。执行命令dhcp snooping enable,使能BD内的DHCP Snooping功能。
缺省情况下,BD内没有使能DHCP Snooping功能。
执行命令 commit,提交配置。配置接口为信任状态
在配置DHCP Snooping功能时,必须配置信任接口,否则用户无法上线。
背景信息
DHCP Snooping信任功能将接口分为Trusted接口和Untrusted接口: Trusted接口对接收到的DHCP Reply报文正常转发,从而保证了DHCP Client获取正确的IP地址。 从Untrusted接口接收到的DHCP Reply报文会被丢弃,从而防止了DHCP Client获得错误的IP地址。一般把与合法DHCP Server相连的接口设为Trusted接口,其他接口都设为Untrusted接口。
在配置DHCP Snooping功能时,必须配置信任接口,且服务器侧接口和用户侧接口必须在同一个VLAN内,否则用户无法上线。
操作步骤
对于DHCP Server仿冒者通过二层设备的攻击,在VLAN视图下配置接口为Trusted 执行命令 system-view,进入系统视图。 执行命令 vlan vlan-id,进入VLAN视图。执行命令dhcp snooping trusted [ interface interface-type interface-number ],配置VLAN内的接口为信任状态。
在VLAN内配置接口为信任状态前,该接口必须已经加入了该VLAN。
执行命令 commit,提交配置。 在BD视图下配置接口为信任状态 执行命令 system-view,进入系统视图。 执行命令 bridge-domain bd-id,进入BD视图。 执行命令 dhcp snooping trusted,配置BD内的接口为信任状态。 执行命令 commit,提交配置。 对于DHCP Server仿冒者通过三层设备的攻击,在接口视图下配置接口为信任状态 执行命令 system-view,进入系统视图。 执行命令 interface interface-type interface-number,进入接口视图。执行命令dhcp snooping trusted,配置接口为信任状态。
在VSI场景下,可以在网络侧接口上配置 dhcp snooping trusted命令。但是如果多个VSI共用这一个网络侧物理出接口,那么 dhcp snooping trusted命令对所有VSI都生效,会存在以下两个问题: 无法区分VSI上送主机处理,这样DHCP Snooping功能无法实现,但是用户可以上线。 对于未配置DHCP Snooping的VSI,网络侧物理出接口仍然会将收到的DHCP回应报文上送平台,这样会增加系统负担。 所以在VSI场景下,建议用户在VSI视图下配置 dhcp snooping nni server enable命令,不要在网络侧接口配置 dhcp snooping trusted命令,这样能满足VSI下的用户上线以及DHCP Snooping的需求,也不会出现上述问题。 执行命令 commit,提交配置。 在BD视图下配置接口为信任状态 执行命令 system-view,进入系统视图。 执行命令 bridge-domain bd-id,进入BD视图。 执行命令 dhcp snooping trusted,配置BD内的接口为信任状态。 执行命令 commit,提交配置。 6小时前回答暂无
参考官方文档
http://www.h3c.com/cn/d_
6小时前回答暂无
单位上一个交换机S5130坏了,送修了,现在找了一个华为的S
谢谢
6小时前回答暂无
你正在内容来源:知了社区,一个老设备如何启用DHCP snooping
版权声明:本文内容源于互联网搬运整理,仅限于小范围内传播学习和文献参考,不代表本站观点,请在下载后24小时内删除,如果有侵权之处请第一时间联系我们删除。敬请谅解! E-mail:c#seox.cn(#修改为@)
CRM论坛:CRM论坛(CRMBBS.COM)始办于2019年,是致力于✅CRM实施方案✅免费CRM软件✅SCRM系统✅客户管理系统的垂直内容社区网站,CRM论坛持续专注于CRM领域,在不断深化理解CRM系统的同时,进一步利用新型互联网技术,为用户实现企业、客户、合作伙伴与产品之间的无缝连接与交互。