所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置在VPLS网络中应用DHCP Snooping示例

配置在VPLS网络中应用DHCP Snooping示例

组网需求

图8-14所示,PE1与PE2通过VPLS网络连接,DHCP Client通过DHCP方式获取IPv4地址。网络中存在非法用户的攻击导致合法用户不能正常获取IP地址,管理员希望能够防止网络中针对DHCP的攻击,为DHCP用户提供更优质的服务。

图8-14  配置VPLS网络中应用DHCP Snooping组网图
说明:

S5720HI、S6720HI和S5730HI支持此举例。

配置思路

采用如下的思路在PE1上进行配置。

  1. 使能全局DHCP Snooping功能并配置设备仅处理DHCPv4报文。
  2. 使能设备在VPLS网络中的DHCP Snooping功能,保证DHCP Snooping相关配置在VPLS网络中生效。
  3. 使能接口下的DHCP Snooping功能。
  4. 配置接口的信任状态,以保证客户端从合法的服务器获取IP地址。
  5. 使能对DHCP报文进行绑定表匹配检查的功能,以防止仿冒DHCP报文攻击。
  6. 配置DHCP报文上送DHCP报文处理单元的最大允许速率,防止DHCP报文泛洪攻击。
  7. 使能检测DHCP Request报文中GIADDR字段是否非零的功能,防止GIADDR字段非零的DHCP Request报文攻击。
  8. 配置允许接入的最大用户数以及使能检测DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段是否一致功能,防止DHCP Server服务拒绝攻击。

操作步骤

  1. 使能DHCP Snooping功能。

    # 使能全局DHCP Snooping功能并配置设备仅处理DHCPv4报文。

    <HUAWEI> system-view
    [HUAWEI] sysname PE1
    [PE1] dhcp enable
    [PE1] dhcp snooping enable ipv4

  2. 使能设备在VPLS网络中的DHCP Snooping功能。

    [PE1] dhcp snooping over-vpls enable

  3. 使能接口下的DHCP Snooping功能。

    # 使能用户侧接口的DHCP Snooping功能。以GE0/0/1接口为例,GE0/0/2的配置与GE0/0/1接口相同,不再赘述。

    [PE1] interface gigabitethernet 0/0/1
    [PE1-GigabitEthernet0/0/1] dhcp snooping enable
    [PE1-GigabitEthernet0/0/1] quit

  4. 配置接口的信任状态:将连接DHCP Server的接口状态配置为“Trusted”。

    [PE1] interface gigabitethernet 0/0/3
    [PE1-GigabitEthernet0/0/3] dhcp snooping trusted
    [PE1-GigabitEthernet0/0/3] quit

  5. 使能对DHCP报文进行绑定表匹配检查的功能。

    # 在用户侧接口进行配置。以GE0/0/1接口为例,GE0/0/2的配置与GE0/0/1接口相同,不再赘述。

    [PE1] interface gigabitethernet 0/0/1
    [PE1-GigabitEthernet0/0/1] dhcp snooping check dhcp-request enable
    [PE1-GigabitEthernet0/0/1] quit

  6. 配置DHCP报文上送DHCP报文处理单元的最大允许速率为90pps。

    [PE1] dhcp snooping check dhcp-rate enable
    [PE1] dhcp snooping check dhcp-rate 90

  7. 使能检测DHCP Request报文中GIADDR字段是否非零的功能。

    # 在用户侧接口进行配置。以GE0/0/1接口为例,GE0/0/2的配置与GE0/0/1接口相同,不再赘述。

    [PE1] interface gigabitethernet 0/0/1
    [PE1-GigabitEthernet0/0/1] dhcp snooping check dhcp-giaddr enable
    [PE1-GigabitEthernet0/0/1] quit

  8. 配置接口允许接入的最大用户数并使能对CHADDR字段检查功能。

    # 在用户侧接口进行配置。以GE0/0/1接口为例,GE0/0/2的配置与GE0/0/1接口相同,不再赘述。

    [PE1] interface gigabitethernet 0/0/1
    [PE1-GigabitEthernet0/0/1] dhcp snooping max-user-number 20
    [PE1-GigabitEthernet0/0/1] dhcp snooping check dhcp-chaddr enable
    [PE1-GigabitEthernet0/0/1] quit

  9. 配置丢弃报文告警和报文限速告警功能。

    # 使能丢弃报文告警功能,并配置丢弃报文告警阈值。以GE0/0/1接口为例,GE0/0/2的配置与GE0/0/1接口相同,不再赘述。

    [PE1] interface gigabitethernet 0/0/1
    [PE1-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-chaddr enable
    [PE1-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-request enable
    [PE1-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-reply enable
    [PE1-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-chaddr threshold 120
    [PE1-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-request threshold 120
    [PE1-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-reply threshold 120
    [PE1-GigabitEthernet0/0/1] quit
    

    # 使能报文限速告警功能,并配置报文限速告警阈值。

    [PE1] dhcp snooping alarm dhcp-rate enable
    [PE1] dhcp snooping alarm dhcp-rate threshold 80

  10. 验证配置结果

    # 执行命令display dhcp snooping configuration查看DHCP Snooping的配置信息。

    [PE1] display dhcp snooping configuration
    #                                                                               
    dhcp snooping enable ipv4                                                            
    dhcp snooping check dhcp-rate enable                                            
    dhcp snooping check dhcp-rate 90                                                
    dhcp snooping alarm dhcp-rate enable                                            
    dhcp snooping alarm dhcp-rate threshold 80                                      
    dhcp snooping over-vpls enable                                      
    #                                                                               
    interface GigabitEthernet0/0/1                                                  
     dhcp snooping enable                                                          
     dhcp snooping check dhcp-giaddr enable  
     dhcp snooping check dhcp-request enable                                           
     dhcp snooping alarm dhcp-request enable                                           
     dhcp snooping alarm dhcp-request threshold 120                                    
     dhcp snooping check dhcp-chaddr enable                                         
     dhcp snooping alarm dhcp-chaddr enable                                         
     dhcp snooping alarm dhcp-chaddr threshold 120                                  
     dhcp snooping alarm dhcp-reply enable                                       
     dhcp snooping alarm dhcp-reply threshold 120                                  
     dhcp snooping max-user-number 20
    #                                                                               
    interface GigabitEthernet0/0/2
     dhcp snooping enable                                                          
     dhcp snooping check dhcp-giaddr enable  
     dhcp snooping check dhcp-request enable                                           
     dhcp snooping alarm dhcp-request enable                                           
     dhcp snooping alarm dhcp-request threshold 120                                    
     dhcp snooping check dhcp-chaddr enable                                         
     dhcp snooping alarm dhcp-chaddr enable                                         
     dhcp snooping alarm dhcp-chaddr threshold 120                                  
     dhcp snooping alarm dhcp-reply enable                                       
     dhcp snooping alarm dhcp-reply threshold 120                                  
     dhcp snooping max-user-number 20
    #                                                                               
    interface GigabitEthernet0/0/3                                                  
     dhcp snooping trusted                                                          
    #                                                           

    # 执行命令display dhcp snooping interface查看接口下的DHCP Snooping运行信息。

    [PE1] display dhcp snooping interface gigabitethernet 0/0/1
     DHCP snooping running information for interface GigabitEthernet0/0/1 :        
     DHCP snooping                            : Enable                              
     Trusted interface                        : No                                  
     Dhcp user max number                     : 20                                  
     Current dhcp and nd user number          : 0                                   
     Check dhcp-giaddr                        : Enable                              
     Check dhcp-chaddr                        : Enable                              
     Alarm dhcp-chaddr                        : Enable                              
     Alarm dhcp-chaddr threshold              : 120                                 
     Discarded dhcp packets for check chaddr  : 0                                   
     Check dhcp-request                       : Enable                              
     Alarm dhcp-request                       : Enable                              
     Alarm dhcp-request threshold             : 120                                 
     Discarded dhcp packets for check request : 0                                   
     Check dhcp-rate                          : Disable  (default)                  
     Alarm dhcp-rate                          : Disable  (default)                  
     Alarm dhcp-rate threshold                : 80                                  
     Discarded dhcp packets for rate limit    : 0                                   
     Alarm dhcp-reply                         : Enable                              
     Alarm dhcp-reply threshold               : 120                                 
     Discarded dhcp packets for check reply   : 0                                   
    
    [PE1] display dhcp snooping interface gigabitethernet 0/0/3
     DHCP snooping running information for interface GigabitEthernet0/0/3 :         
     DHCP snooping                            : Disable  (default)                  
     Trusted interface                        : Yes                                 
     Dhcp user max number                     : 1024    (default)                  
     Current dhcp and nd user number          : 0                                
     Check dhcp-giaddr                        : Disable  (default)                  
     Check dhcp-chaddr                        : Disable  (default)                  
     Alarm dhcp-chaddr                        : Disable  (default)                  
     Check dhcp-request                       : Disable  (default)                  
     Alarm dhcp-request                       : Disable  (default)                  
     Check dhcp-rate                          : Disable  (default)                  
     Alarm dhcp-rate                          : Disable  (default)                  
     Alarm dhcp-rate threshold                : 80                                  
     Discarded dhcp packets for rate limit    : 0                                   
     Alarm dhcp-reply                         : Disable  (default)   

配置文件

# PE1的配置文件

#                                                                               
sysname PE1
#                                                                               
dhcp enable                                                                     
#                                                                               
dhcp snooping enable ipv4                                                       
dhcp snooping check dhcp-rate enable                                            
dhcp snooping check dhcp-rate 90                                                
dhcp snooping alarm dhcp-rate enable                                            
dhcp snooping alarm dhcp-rate threshold 80 
dhcp snooping over-vpls enable                                       
#
interface GigabitEthernet0/0/1
 dhcp snooping enable                                                           
 dhcp snooping check dhcp-giaddr enable                                         
 dhcp snooping check dhcp-request enable                                           
 dhcp snooping alarm dhcp-request enable                                           
 dhcp snooping alarm dhcp-request threshold 120                                    
 dhcp snooping check dhcp-chaddr enable                                         
 dhcp snooping alarm dhcp-chaddr enable                                         
 dhcp snooping alarm dhcp-chaddr threshold 120                                  
 dhcp snooping alarm dhcp-reply enable                                       
 dhcp snooping alarm dhcp-reply threshold 120                                
 dhcp snooping max-user-number 20 
#
interface GigabitEthernet0/0/2
 dhcp snooping enable                                                           
 dhcp snooping check dhcp-giaddr enable                                         
 dhcp snooping check dhcp-request enable                                           
 dhcp snooping alarm dhcp-request enable                                           
 dhcp snooping alarm dhcp-request threshold 120                                    
 dhcp snooping check dhcp-chaddr enable                                         
 dhcp snooping alarm dhcp-chaddr enable                                         
 dhcp snooping alarm dhcp-chaddr threshold 120                                  
 dhcp snooping alarm dhcp-reply enable                                       
 dhcp snooping alarm dhcp-reply threshold 120                                
 dhcp snooping max-user-number 20 
#
interface GigabitEthernet0/0/3
 dhcp snooping trusted
#
return
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:34168

下载量:973

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页