所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S9300, S9300X V200R010C00 配置指南(Web网管)

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
DHCP Snooping

DHCP Snooping

通过配置DHCP Snooping可以保证DHCP客户端从合法的DHCP服务器获取IP地址。

背景信息

DHCP Snooping是DHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。

全局参数配置

配置其他DHCP Snooping参数前需要先全局使能DHCP Snooping功能。

背景信息

DHCP Snooping是DHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。

操作步骤

  1. 单击导航栏中安全 > DHCP Snooping > 全局参数配置菜单,进入“全局参数配置”界面。图2-207所示。

    图2-207  全局参数配置

  2. 选择使能,单击“应用”

接口状态配置

接口下配置其他DHCP Snooping参数前需要在接口下使能DHCP Snooping功能。

背景信息

DHCP Snooping是DHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。

接口下配置其他DHCP Snooping参数前需要在接口下使能DHCP Snooping功能。

操作步骤

  • 配置接口下使能DHCP Snooping功能
    1. 单击导航栏中安全 > DHCP Snooping > 接口状态配置菜单,进入“接口状态配置”界面。图2-208所示。

      图2-208  接口状态配置

      界面信息含义如表2-115所示。

      表2-115  接口状态配置

      查询项

      说明

      接口名称

      接口名称。

      状态

      表示接口下DHCP Snooping功能使能状态。

    2. 选择需要使能DHCP Snooping功能的接口,单击“配置”,进入“接口状态配置”界面。图2-209所示。

      图2-209  接口状态配置(指定接口)

      界面信息含义如表2-116所示。

      表2-116  接口状态配置(指定接口)

      配置项

      说明

      接口名称

      表示在显示的接口下进行配置。

      DHCP Snooping状态

      配置接口下DHCP Snooping功能使能,包括使能和去使能。

    3. 选择使能,单击“确定”
  • 刷新接口下DHCP Snooping功能使能状态
    1. 单击导航栏中安全 > DHCP Snooping > 接口状态配置菜单,进入“接口状态配置”界面。
    2. 单击“刷新”
  • 查询接口下DHCP Snooping功能使能状态
    1. 单击导航栏中安全 > DHCP Snooping > 接口状态配置菜单,进入“接口状态配置”界面。
    2. “查询”区域框下面,选择接口类型并输入接口编号,单击“查询”

接口信任配置

使能DHCP Snooping功能之后,需将连接DHCP服务器的接口配置为“信任”模式。

背景信息

在DHCP Snooping的场景下,通常把与合法DHCP服务器直接或间接连接的接口设置为信任接口。

操作步骤

  • 配置接口为信任接口
    1. 单击导航栏中安全 > DHCP Snooping > 接口信任配置菜单,进入“接口信任配置”界面。图2-210所示。

      图2-210  接口信任配置

      界面信息含义如表2-117所示。

      表2-117  接口信任配置

      查询项

      说明

      接口名称

      接口名称。

      状态

      表示接口是否为信任接口。

    2. 选择接口,单击“配置”,进入“接口信任配置”界面。图2-211所示。

      图2-211  接口信任配置(指定接口)

      界面信息含义如表2-118所示。

      表2-118  接口信任配置(指定接口)

      配置项

      说明

      接口名称

      表示在显示的接口下进行配置。

      状态

      配置接口状态,包括信任和非信任。

    3. 选择信任,单击“确定”
  • 刷新接口状态
    1. 单击导航栏中安全 > DHCP Snooping > 接口信任配置菜单,进入“接口信任配置”界面。
    2. 单击“刷新”
  • 查询接口状态
    1. 单击导航栏中安全 > DHCP Snooping > 接口信任配置菜单,进入“接口信任配置”界面。
    2. “查询”区域框下面,选择接口类型并输入接口编号,单击“查询”

接口参数配置

在DHCP网络环境中,攻击者仍有多种攻击手段可对网络进行攻击。此时根据需要,管理员可配置DHCP Snooping的攻击防范功能。

背景信息

在配置完成DHCP Snooping的基本功能后,设备能够保证客户端从合法的服务器获取IP地址,这有效防止了网络中DHCP Server仿冒者攻击。但是在DHCP网络环境中,攻击者仍有多种攻击手段可对网络进行攻击。此时根据需要,管理员可配置DHCP Snooping的攻击防范功能。

操作步骤

  • 配置接口参数
    1. 单击导航栏中安全 > DHCP Snooping > 接口参数配置菜单,进入“接口参数配置”界面。图2-212所示。

      图2-212  接口参数配置

      界面信息含义如表2-119所示。

      表2-119  接口参数配置

      查询项

      说明

      接口名称

      接口名称。

      报文限速

      表示DHCP报文上送DHCP报文处理单元的速率进行检测功能状态。

      报文速率告警

      表示丢弃的DHCP报文数达到告警阈值时的告警功能状态。

      告警阈值(packets)

      表示接口下被丢弃的DHCP报文的告警阈值。

      续租检查

      表示对DHCP报文进行绑定表匹配检查的功能状态。

      续租告警

      表示与绑定表不匹配而被丢弃的DHCP报文数达到阈值时的告警功能状态。

      告警阈值(packets)

      表示与绑定表不匹配而被丢弃的DHCP报文的告警阈值。

      Chaddr检查

      表示检测DHCP Request报文帧头源MAC地址与CHADDR字段是否相同的功能。

      Chaddr告警

      表示数据帧头MAC地址与DHCP报文中的CHADDR字段不一致被丢弃的报文达到阈值时的告警功能状态。

      告警阈值(packets)

      表示数据帧头MAC地址与DHCP报文中的CHADDR字段不一致被丢弃的报文的告警阈值。

    2. 选择接口,单击“配置”,进入“接口参数配置”界面。图2-213所示。

      图2-213  接口参数配置(指定接口)

      界面信息含义如表2-120所示。

      表2-120  接口参数配置(指定接口)

      配置项

      说明

      接口名称

      表示在显示的接口下进行配置。

      报文限速

      配置报文限速功能,包括使能和去使能。

      报文速率告警

      配置报文速率告警功能,包括使能和去使能。

      告警阈值

      配置报文速率告警阈值。

      续租检查

      配置续租检查功能,包括使能和去使能。

      续租告警

      配置续租告警功能,包括使能和去使能。

      告警阈值

      配置续租告警阈值。

      Chaddr检查

      配置Chaddr检查功能,包括使能和去使能。

      Chaddr告警

      配置Chaddr告警功能,包括使能和去使能。

      告警阈值

      配置Chaddr告警阈值。

    3. 填写相应的配置项。
    4. 单击“确定”
  • 刷新接口参数
    1. 单击导航栏中安全 > DHCP Snooping > 接口参数配置菜单,进入“接口参数配置”界面。
    2. 单击“刷新”
  • 查询接口参数
    1. 单击导航栏中安全 > DHCP Snooping > 接口参数配置菜单,进入“接口参数配置”界面。
    2. “查询”区域框下面,选择接口类型并输入接口编号,单击“查询”

绑定表信息

DHCP Snooping绑定表分为动态绑定表和静态绑定表,动态绑定表通过DHCP报文生成,静态绑定表由用户手动配置。

背景信息

使能了DHCP Snooping的设备将用户(DHCP客户端)的DHCP请求报文通过信任接口发送给合法的DHCP服务器。之后设备根据DHCP服务器回应的DHCP ACK报文信息生成DHCP Snooping绑定表。后续设备再从使能了DHCP Snooping的接口接收用户发来的DHCP报文时,会进行匹配检查,能够有效防范非法用户的攻击。

DHCP Snooping绑定表分为动态绑定表和静态绑定表,动态绑定表通过DHCP报文生成,静态绑定表由用户手动配置。当需要配置的静态绑定表项数目较多时,可以采用模板批量导入。

操作步骤

  • 配置静态绑定表导入
    1. 单击导航栏中安全 > DHCP Snooping > 绑定表信息菜单,进入“绑定表信息”界面。图2-214所示。

      图2-214  绑定表信息

      界面信息含义如表2-121所示。

      表2-121  绑定表信息

      查询项

      说明

      接口名称

      DHCP Snooping绑定表项的接口名称。

      VLAN ID

      DHCP Snooping绑定表项的VLAN编号。

      IP地址

      DHCP Snooping绑定表项的IP地址。

      MAC地址

      DHCP Snooping绑定表项的MAC地址。

      类型

      DHCP Snooping绑定表项的类型,包括动态和静态。

    2. 单击“下载模板”,根据模板填写需要导入的静态绑定表信息。
    3. 单击“浏览”,选择已填写的静态绑定表文件路径。
    4. 单击“导入”
  • 配置静态绑定表导出
    1. 单击导航栏中安全 > DHCP Snooping > 绑定表信息菜单,进入“绑定表信息”界面。
    2. 单击“导出”
  • 查询绑定表信息
    1. 单击导航栏中安全 > DHCP Snooping > 绑定表信息菜单,进入“绑定表信息”界面。
    2. “查询”区域框下面,填写相应的查询条件,可以是如下一种或多种的组合。

      • 选择接口类型并输入接口编号。
      • 输入VLAN ID。
      • 输入IP地址。
      • 输入MAC地址。

    3. 单击“查询”
  • 刷新绑定表信息
    1. 单击导航栏中安全 > DHCP Snooping > 绑定表信息菜单,进入“绑定表信息”界面。
    2. 单击“刷新”
  • 删除绑定表信息
    1. 单击导航栏中安全 > DHCP Snooping > 绑定表信息菜单,进入“绑定表信息”界面。
    2. 选择需要删除的绑定表项,单击“删除”,在弹出的提示框内单击“确定”
翻译
下载文档
更新时间:2019-08-21

文档编号:EDOC1000123894

浏览量:8102

下载量:572

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页