菜单导航

有趣的DHCP的实验配置,防止私接无线路由器

作者: 精装之家 来源: 精装之家 发布时间: 2019年10月08日 14:01:40

我们都知道现在很多单位都采用DHCP进行地址分配,但是如果出现普通用户私接无线路由器分配错误的IP地址,导致不能访问单位的内网设备的情况,今天的技术帖我们给大家介绍DHCP Snooping防止私接无线路由器的情况。

拓扑图如下图所示:

有趣的DHCP的实验配置,防止私接无线路由器

某单位的DHCP1设备分配192.168.1.0/24网段的地址。下面的PC机获取到的都是192.168.1.0/24网段的地址;而此时有用户私接了一台DHCP服务器分配的是192.168.2.0/24网段的地址。此时需要禁止PC机获取到192.168.2.0/24网段的地址。

DHCP Snooping功能通过在交换机上配置信任端口,让合法的DHCP服务器的报文能够通过信任端口下发给终端用户,这样不是属于信任端口的报文就不会下发给用户。

配置如下所示:

DHCP1的配置

[DHCP 1]dhcp enable

[DHCP 1]dhcp server ip-pool h3c1

[DHCP 1-dhcp-pool-h3c1]network 192.168.1.0 24

[DHCP 1-dhcp-pool-h3c1]gateway-list 192.168.1.1

[DHCP 1]dhcp server forbidden-ip 192.168.1.1

DHCP2的配置

[DHCP 2]dhcp enable

[DHCP 2]dhcp server ip-pool h3c2

[DHCP 2-dhcp-pool-h3c2]network 192.168.2.0 24

[DHCP 2-dhcp-pool-h3c2]gateway-list 192.168.2.1

[DHCP 2]dhcp server forbidden-ip 192.168.2.1

SW的配置

[SW]dhcp snooping enable

[SW-GigabitEthernet1/0/1]dhcp snooping trust//配置DHCP Snooping的信任端口

在没有配置DHCP Snooping技术之前,两个终端的用户分配的是不同网段的地址。

有趣的DHCP的实验配置,防止私接无线路由器

有趣的DHCP的实验配置,防止私接无线路由器

通过配置DHCP Snooping之后,用户分配的地址都是192.168.1.0/24的地址。

有趣的DHCP的实验配置,防止私接无线路由器

有趣的DHCP的实验配置,防止私接无线路由器