很多企业的网管都经常会面临有人私自在办公网络上私接小路由,由于接线或配置错误,容易导致网络内DHCP异常,工作主机无法正常获取正确的IP地址。对于这个的问题,我们可以采用端口接入设备MAC IP绑定,端口接入限制,边缘端口等等措施,但配置量比较大,对于内网管理要求不高的情况,DHCPSNOOPING是个简单易行的办法。
HUAWEI设备的配置方法:
拓扑说明:LSW1模拟接入交换机
DHCP1模拟正常的DHCP SERVER
DHCP2模拟私接的路由
基础配置
PC配置为自动获取IP方式
DHCP各自正常配置地址池
DHCP1配置
sysname DHCP1
dhcp enable
ip pool 1
gateway-list 192.168.1.1
network 192.168.1.0 mask 255.255.255.0
interface GigabitEthernet0/0/0
ip address 192.168.1.1 255.255.255.0
dhcp select global
DHCP2配置
sysname DHCP2
dhcp enable
ip pool 2
gateway-list 172.16.1.1
network 172.16.1.0 mask 255.255.255.0
interface GigabitEthernet0/0/0
ip address 172.16.1.1 255.255.255.0
dhcp select global
当LSW1上没有任何DHCP限制配置的时候,多次在PC上测试获取IP,会随机获取来自两个DHCPserver分配的IP。
在交换机上配置DHCPsnooping。
sysname SW
dhcp enable
dhcp snooping enable
//开启DHCP SNOOPING
interface GigabitEthernet0/0/1
dhcp snooping trusted
/ /对正确的DHCPSERVER端口开启信任
port-group group-member G 0/0/2 TO G 0/0/24
dhcp snooping enable
//其他端口不信任
实验测试
即使将DHCP1的G0/0/0关闭,也不会获取DHCP2 的地址,只会提示无法找到DHCP SEVER
锐捷设备的配置(CISCO配置类似)
DHCP1配置
hostname DHCP1
service dhcp
ip dhcp pool 1
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
interface GigabitEthernet 0/0
no switchport
ip address 192.168.1.1 255.255.255.0
DHCP2置
hostname DHCP2
service dhcp
ip dhcp pool 2
network 172.16.1.0 255.255.255.0
default-router 172.16.1.1
interface GigabitEthernet 0/0
no switchport
ip address 172.16.1.1 255.255.255.0
交换机配置
service dhcp
ip dhcp snooping
//只要开启DHCPSNOOPING,默认全部接口不信任
interface GigabitEthernet 0/0
ip dhcp snooping trust
//信任G0/0
测试结果,完全达到要求,DHCP2被完全屏蔽。