No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para configurar DHCP Snooping para evitar ataques al servidor DHCP falso

Ejemplo para configurar DHCP Snooping para evitar ataques al servidor DHCP falso

Descripción general de DHCP Snooping

Durante un proceso en el cual un cliente DHCP obtiene dinámicamente una dirección IP, DHCP snooping analiza y filtra los paquetes DHCP entre el cliente y el servidor. La configuración adecuada de DHCP snooping implementa el filtrado de los servidores no autorizados, evitando que los clientes obtengan direcciones proporcionadas por el servidor DHCP no autorizado y que no puedan acceder a la red.

DHCP snooping se puede usar cuando se producen ataques de suplantación del servidor DHCP en la red. Los ejemplos de escenarios son los siguientes:
  • Algunos terminales en la red usan Windows Server 2003 o 2008 y están habilitados para asignar direcciones IP usando DHCP de forma predeterminada.
  • Algunas interfaces en la capa de acceso están conectadas al router inalámbrico que está habilitado para asignar direcciones IP usando DHCP.

Se recomienda implementar DHCP snooping en un switch de acceso. El control de la interfaz es preciso si implementa DHCP snooping en un switch más cercano al PC. Cada interfaz del switch debe conectarse a un solo PC. Si una determinada interfaz está conectada a múltiples PC a través de un hub, los ataques de DHCP snooping que se producen en el hub no se pueden evitar porque los paquetes de snooping se reenvían directamente entre las interfaces del hub y no se pueden controlar a través de DHCP snooping implementado en el switch de acceso.

Notas de configuración

En V100R006C05, el S2300SI no es compatible con DHCP snooping. Todos los modelos en otras versiones son aplicables a este ejemplo.

Requisitos de redes

Como se muestra en Figura 12-12, SwitchA es un switch de acceso y su PC conectado obtiene una dirección IP a través de DHCP. SwitchB como un switch de core se implementa con la función del servidor DHCP. DHCP snooping debe configurarse para evitar que los servidores DHCP no autorizados, como los routers inalámbricos incorporados desde el acceso a la red. Si un servidor DHCP no autorizado está conectado a la red, los usuarios común obtienen direcciones incorrectas y no pueden acceder a la red o obtienen direcciones conflictivas.

Figura 12-12  Diagrama de redes para configurar DHCP snooping para evitar ataques al servidor DHCP falso

Hoja de ruta de configuración

La hoja de ruta de configuración es la siguiente:

  1. Implemente la función del servidor DHCP en SwitchB.
  2. Habilite DHCP snooping global en SwitchA, enable DHCP snooping on the interface connected to the PC, y configure the interface connected to SwitchB as a trusted interface. (La interfaz confiable recibe los paquetes de respuesta de DHCP del servidor DHCP. SwitchA envía los paquetes de solicitud de DHCP desde el PC a SwitchB solo a través de la interfaz confiada.

Procedimiento

  1. Configure la función del servidor DHCP.

    # Configure la función del servidor DHCP en SwitchB.

    <Quidway> system-view
    [Quidway] sysname SwitchB
    [SwitchB] vlan batch 10
    [SwitchB] interface gigabitethernet 0/0/1
    [SwitchB-GigabitEthernet0/0/1] port link-type trunk
    [SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
    [SwitchB-GigabitEthernet0/0/1] quit
    [SwitchB] dhcp enable
    [SwitchB] interface vlanif 10
    [SwitchB-Vlanif10] ip address 10.1.1.1 255.255.255.0
    [SwitchB-Vlanif10] dhcp select interface  //Habilite el dispositivo que asigne direcciones IP en función del grupo de direcciones de la interfaz.
    [SwitchB-Vlanif10] quit
    

  2. Configure DHCP snooping.

    # Configure DHCP snooping en SwitchA.

    <Quidway> system-view
    [Quidway] sysname SwitchA
    [SwitchA] vlan batch 10
    [SwitchA] interface gigabitethernet 0/0/1
    [SwitchA-GigabitEthernet0/0/1] port link-type trunk
    [SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
    [SwitchA-GigabitEthernet0/0/1] quit
    [SwitchA] interface gigabitethernet 0/0/2
    [SwitchA-GigabitEthernet0/0/2] port link-type access
    [SwitchA-GigabitEthernet0/0/2] port default vlan 10
    [SwitchA-GigabitEthernet0/0/2] quit
    [SwitchA] interface gigabitethernet 0/0/3
    [SwitchA-GigabitEthernet0/0/3] port link-type access
    [SwitchA-GigabitEthernet0/0/3] port default vlan 10
    [SwitchA-GigabitEthernet0/0/3] quit
    [SwitchA] dhcp enable
    [SwitchA] dhcp snooping enable ipv4  //Habilite DHCP snooping global, y configure el dispositivo para procesar solo paquetes DHCPv4 para ahorrar el uso de la CPU.
    [SwitchA] interface gigabitethernet 0/0/2
    [SwitchA-GigabitEthernet0/0/2] dhcp snooping enable  //Habilite DHCP snooping en la interfaz en el lado de usuario.
    [SwitchA-GigabitEthernet0/0/2] quit
    [SwitchA] interface gigabitethernet 0/0/3
    [SwitchA-GigabitEthernet0/0/3] dhcp snooping enable
    [SwitchA-GigabitEthernet0/0/3] quit
    [SwitchA] interface gigabitethernet 0/0/1
    [SwitchA-GigabitEthernet0/0/1] dhcp snooping trusted  //Configure la interfaz como una interfaz de confianza para que el switch de acceso pueda procesar solo paquetes de Response del servidor DHCP recibidos desde la interfaz.
    [SwitchA-GigabitEthernet0/0/1] quit
    

  3. Verifique la configuración.

    # Ejecute el comando display dhcp snooping configuration en SwitchA para verificar la configuración de DHCP snooping.
    [SwitchA] display dhcp snooping configuration
    #
    dhcp snooping enable ipv4
    #
    interface GigabitEthernet0/0/1
     dhcp snooping trusted
    #
    interface GigabitEthernet0/0/2
     dhcp snooping enable
    #
    interface GigabitEthernet0/0/3
     dhcp snooping enable
    #

    # Ejecuta el comando display ip pool interface vlanif10 used en SwitchB para verificar las direcciones IP usadas en el grupo de direcciones.

    [SwitchB] display ip pool interface vlanif10 used
      Pool-name      : Vlanif10
      Pool-No        : 1
      Lease          : 1 Days 0 Hours 0 Minutes
      Domain-name    : -
      DNS-server0    : -
      NBNS-server0   : -
      Netbios-type   : -
      Position       : Interface       Status           : Unlocked
      Gateway-0      : 10.1.1.1
      Network        : 10.1.1.0
      Mask           : 255.255.255.0
      VPN instance   : --
    
     -----------------------------------------------------------------------------
             Start           End     Total  Used  Idle(Expired)  Conflict  Disable
     -----------------------------------------------------------------------------
            10.1.1.1      10.1.1.254   253     1        252(0)         0        0
     -----------------------------------------------------------------------------
      Network section :
     -----------------------------------------------------------------------------
      Index              IP               MAC      Lease   Status
     -----------------------------------------------------------------------------
        253      10.1.1.254    0021-cccf-b67f         46   Used
     -----------------------------------------------------------------------------  

    # Ejecute el comando display dhcp snooping user-bind all en SwitchA para verificar la tabla de enlace de DHCP snooping.

    [SwitchA] display dhcp snooping user-bind all
    DHCP Dynamic Bind-table:
    Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
    IP Address       MAC Address     VSI/VLAN(O/I/P) Interface      Lease
    --------------------------------------------------------------------------------
    10.1.1.254       0021-cccf-b67f  10  /--  /--    GE0/0/2        2014.09.21-09:33
    --------------------------------------------------------------------------------
    Print count:           1          Total count:           1                     

    Las direcciones IP obtenidas por todos los PC subsiguientes a través de DHCP solo pueden ser asignadas por SwitchB.

Archivos de configuración

  • Archivo de configuración de SwitchA

    #
    sysname SwitchA
    #
    vlan batch 10
    #
    dhcp enable
    #
    dhcp snooping enable ipv4
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 10
     dhcp snooping trusted
    #
    interface GigabitEthernet0/0/2
     port link-type access
     port default vlan 10
     dhcp snooping enable
    #
    interface GigabitEthernet0/0/3
     port link-type access
     port default vlan 10
     dhcp snooping enable
    #
    return
  • Archivo de configuración de SwitchB

    #
    sysname SwitchB
    #
    vlan batch 10
    #
    dhcp enable
    #
    interface Vlanif10
     ip address 10.1.1.1 255.255.255.0
     dhcp select interface
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 10
    #
    return
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15598

Descargas: 131

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente