https://www.h3c.com/cn/d_201908/1219371_30005_0.htm

<Quidway> system-view
[Quidway] dhcp enable
[Quidway] dhcp snooping enable #或者使用dhcp-snooping命名开启
[Quidway] dhcp server detect
执行dhcp server detect之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

启用伪DHCP服务器检测功能后,DHCP服务器会检查接收到的DHCP报文中是否携带Option 54(Server Identifier Option,服务器标识选项)。如果携带该选项,DHCP服务器会从接收到的DHCP报文中获取给客户端分配IP地址的服务器IP地址,并在日志中记录此伪DHCP服务器的IP地址及接收到报文的接口信息,以便管理员及时发现并处理伪DHCP服务器(需要通过display logbuffer命令从日志信息中查找伪DHCP服务器)

【说明】伪DHCP服务器检测功能仅是一种事后检测的安全功能,它并不能预防非法DHCP服务器的发生,要预防非法DHCP服务器产生干扰作用,要采用本章后面介绍的DHCP Snooping功能。

DHCP Snooping设备在使能DHCP Server探测功能之后,将会检查并在日志中记录所有DHCP Reply报文中携带的DHCP Server地址与接口等信息。此后网络管理员可根据日志来判定网络中是否存在伪DHCP Server进而对网络进行维护。

display dhcp-snooping

【命令】

display dhcp-snooping [ ip **ip-address ] [ | { begin | exclude | include* } regular-expression *]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

ip ip-address:显示指定IP地址对应的DHCP snooping表项。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display dhcp-snooping命令用来显示DHCP Snooping表项信息。

相关配置可参考命令dhcp-snoopingreset dhcp-snooping

display dhcp-snooping命令只显示DHCP-ACK和DHCP-REQUEST报文中IP地址与MAC地址绑定关系一致的DHCP Snooping表项。

【举例】

# 显示DHCP Snooping表项信息。

<Sysname> display dhcp-snooping
 DHCP Snooping is enabled.
 The client binding table for all untrusted ports.
 Type : D--Dynamic , S--Static , R--Recovering
 Type IP Address      MAC Address    Lease        VLAN SVLAN Interface
 ==== ===============
 D    10.1.1.1        00e0-fc00-0006 286          1    2     Ethernet1/0/1
---   1 dhcp-snooping item(s) found   ---

表4-1 display dhcp snooping命令显示信息描述表

字段 描述
Type 表项类型,取值包括:· D:表示动态生成的DHCP Snooping表项· S:表示静态配置的DHCP Snooping表项。目前不支持静态配置· R:通过DHCP Snooping表项存储文件恢复表项时,如果表项中的接口当前是无效的,则该表项的类型显示为R
IP Address DHCP服务器为DHCP客户端分配的IP地址
MAC Address DHCP客户端的MAC地址
Lease 绑定的租约剩余时间,单位为秒
VLAN 如果DHCP Snooping功能与QinQ功能同时使用,或接收到的DHCP报文带有两层VLAN Tag,则表示第一层VLAN Tag;否则,表示与DHCP客户端连接的设备端口所属的VLAN
SVLAN 如果DHCP Snooping功能与QinQ功能同时使用,或接收到的DHCP报文带有两层VLAN Tag,则表示第二层VLAN Tag;否则,显示为“N/A”
Interface 与DHCP客户端连接的设备端口

display dhcp-snooping binding database

【命令】

display dhcp-snooping binding database [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display dhcp-snooping binding database命令用来显示DHCP Snooping表项备份信息。

【举例】

# 显示DHCP Snooping表项备份信息。

dhcp-snooping binding database filename database.dhcp
# 命令用来将当前的DHCP Snooping表项保存到用户指定的文件中。
dhcp-snooping binding database update now
# 配置DHCP Sooping每隔10分钟刷新表项存储文件。
dhcp-snoooping binding database update interval 10
<Sysname> display dhcp-snooping binding database
File name               :   flash:/database.dhcp
Update interval         :   10 minutes
Latest read time        :   Jul 15 2008 16:38:22
Latest write time       :   Jul 15 2008 16:38:24
Status                  :   Last write succeeded.

表4-2 display dhcp-snooping binding database命令显示信息描述表

字段 描述
File name 存储DHCP Snooping表项的文件名称
Update interval 定期刷新表项存储文件的刷新时间间隔
Latest read time 最近一次读文件的时间
Latest write time 最近一次写文件的时间
Status 写文件的状态,即写文件是否成功

arp静态绑定

#arp静态绑定
arp static 172.17.1.11 1234-1234-1234 40 GigabitEthernet 3/0/6
int g3/0/6
 arp max-learning-num 0 //关闭arp动态学习

dhcp server client-detect enable

dhcp server client-detect enable命令用来使能DHCP服务器的用户下线检测功能。undo dhcp server client-detect enable命令用来关闭DHCP服务器的用户下线检测功能。

缺省情况下,DHCP服务器的用户下线检测功能处于关闭状态。

使能DHCP服务器的用户下线检测功能后,DHCP服务器将根据ARP表项判断用户是否在线。ARP表项老化时,认为该表项对应的用户已经下线,删除对应的用户租约。手动删除ARP表项,不会删除对应的用户租约。

<Sysname> system-view
[Sysname] interface vlan-interface 1
[Sysname-Vlan-interface1] dhcp server client-detect enable

dhcp server detect

dhcp server detect命令用来使能伪DHCP服务器检测功能。undo dhcp server detect命令用来禁止伪DHCP服务器检测功能。

缺省情况下,禁止伪DHCP服务器检测功能。

使能伪DHCP服务器检测功能后,DHCP服务器会从接收到的DHCP报文中获取给客户端分配IP地址的服务器IP地址,并记录此IP地址及接收到报文的接口信息,以便管理员及时发现并处理伪DHCP服务器。

需要注意的是:

· 使能伪DHCP服务器检测功能后,对所有DHCP服务器都会进行记录,包括合法的DHCP服务器。管理员需要从日志信息中查找伪DHCP服务器。

· 使能伪DHCP服务器检测功能后,对每个DHCP服务器只记录一次。

<Sysname> system-view
[Sysname] dhcp server detect

其他监测

display dhcp server expired命令用来显示DHCP地址池中的租约超期信息。在DHCP地址池的可用地址分配完后,这类租约超期的地址将被分配给DHCP客户端。

display dhcp server conflict命令用来显示DHCP的地址冲突统计信息。

reset dhcp server conflict命令用来清除DHCP地址冲突的统计信息。

reset dhcp server ip-in-use命令用来清除DHCP动态地址绑定信息。

display dhcp server statistics命令用来显示DHCP服务器的统计信息。

reset dhcp server statistics命令用来清除DHCP服务器的统计信息。

display dhcp server free-ip命令用来显示DHCP地址池的可用地址信息,即尚未分配的IP地址信息。

display dhcp server forbidden-ip命令用来显示DHCP地址池中不参与自动分配的IP地址。

display dhcp server ip-in-use命令用来显示DHCP地址池中的地址绑定信息。

display dhcp server tree命令用来显示DHCP地址池的信息。

作用

在核心交换机上启用DHCP Server后,同时开启DHCP Snooping功能是非常有用的,这两种功能的结合可以提供更加安全和可控的网络环境。下面是它们各自的角色以及结合使用的好处:

  1. DHCP Server:DHCP Server负责为网络中的设备自动分配IP地址、子网掩码、默认网关、DNS服务器等网络配置信息。它是网络中IP地址管理的核心组件。
  2. DHCP Snooping:DHCP Snooping是一种安全特性,用于在交换机上建立和维护一个DHCP绑定表,记录MAC地址和IP地址的映射关系。它可以帮助防止未授权的DHCP服务器分配IP地址,从而避免DHCP欺骗攻击和IP地址冲突。

结合使用的好处包括:

  • 增强安全性:DHCP Snooping可以识别和阻止网络上的未授权DHCP服务器,这些服务器可能会分配错误的或恶意的网络配置信息。
  • 防止ARP欺骗:通过验证DHCP服务器分配的IP地址和MAC地址的一致性,DHCP Snooping有助于防止ARP欺骗攻击。
  • 控制IP地址分配:在一些场景下,可能需要确保特定的设备总是获得相同的IP地址,DHCP Snooping可以与端口安全特性结合使用,实现这一点。
  • 提高网络稳定性:通过防止错误的IP地址分配,可以减少因IP地址冲突导致的网络中断和不稳定。
  • 审计和监控:DHCP Snooping还可以提供网络审计和监控功能,帮助网络管理员跟踪DHCP消息和事件。
  • 优化网络管理:在DHCP Server和DHCP Snooping的配合下,网络管理员可以更精确地控制网络参数的分配,优化网络资源的使用。