酒店的网络经常DHCP冲突需要整改，已有一个初步方案，求推荐设备和配置方法_百度知道
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。
酒店的网络经常DHCP冲突需要整改，已有一个初步方案，求推荐设备和配置方法
1000M光纤入户，路由器拨号上网。路由器连接3层交换机，划分vlan，每个vlan给一个ip，开启dhcp功能。各楼层用二层交换机。听说三层交换机的dhcp-snooping功能能够监听到非法DHCP并舍弃掉。现在两层交换机连接到三层交换机上能不能被三层交换机监听到？需要怎么...
我有更好的答案
DHCP Snooping命令如下;1-20
【这些接口接的是各个客房】 ip dhcp snooping limit rate 10
【连接客房的接口做DHCP数据包限速，防止DHCP地址耗尽攻击】interface range f0/21-24
【这些接口连接DHCP服务器和其他交换机】 ip dhcp snooping trust
【设置为信任接口，这些接口不被监控】no ip dhcp snooping information option
【不插入DHCP option82字段，敲了这么多，手好累、VLAN下的开关必敲4，资金足够，用Cisco的无线解决方案也行如果要用有线的话，只能购买三层交换机，二层交换机没法做DHCP Snooping。在三层交换机上将对应的房间接口加入你们需要的VLAN，这个命令必敲，否则主机无法获得IP地址】强调几个注意事项：1、交换机上连接DHCP服务器的接口必须设置为Trust信任接口2、连接其他交换机的接口也要设置为Trust接口3、全局开关、最后一条命令必敲（所有交换机，除非你做了DHCP Relay）5、最后，这里假设VLAN 100做好基本的VLAN接入配置之后，国内的TP-LINK、D-LINK也就足够了。如果想稳定、强悍一些酒店最好使用WLAN无线覆盖的方案。200人规模的话：ip dhcp snooping
【全局开启DHCP Snooping功能】ip dhcp snooping vlan 100
【针对VLAN100单独开启该功能】interface rang f0&#47，分给我吧。嘿嘿嘿6、另外罗嗦一句，DHCP Snooping对交换机的资源消耗还是有点大的
客户机太多一个三层交换机不够用，你看能不能这样，酒店是用路由器拨号上网，三层交换机划分VLAN、每个VLAN划分不同的网段、开启DHC服务器，这样每个VLAN想要有上网的功能应该怎么设置连接路由器？听说一些网管交换机有dhcp-snooping的功能，可不可以用这种交换机当作接入层交换机？如果可以的话是不是只需要将连接到三层交换机的端口设置为信任就行了？
采纳率：50%
为您推荐：
其他类似问题
dhcp的相关知识
等待您来回答技术解决方案
销售与订单
售后及服务
营销资料平台
【交换机】交换机如何配置防止DHCP 地址耗尽攻击
一、组网需求&&&
&&& 防范接入用户电脑中毒，不断发出dhcp请求，把dhcp地址池里的地址耗尽
二、组网拓扑
三、配置要点
全局配置dhcp snooping
连接到dhcp服务器的端口配置信任口
全局配置dhcp snooping ver mac-address
此功能必须配合 dhcp snooping功能使用，即开此功能的前提是必须开启 dhcp snooping功能
四、配置步骤
注意：配置之前建议使用 Ruijie#show interface status查看接口名称，常用接口名称有FastEthernet（百兆）、GigabitEthernet（千兆）和TenGigabitEthernet(万兆),以下配置以百兆接口为例
& 1）全局配置dhcp snooping
Ruijie&enable&
Ruijie#configure terminal
&&&&&& Ruijie(config)#ip dhcp snooping& ------& 开启DHCP snooping功能
& 2）连接DHCP服务器的接口配置为可信任口
&&&&&& Ruijie(config)#int FastEthernet0/24
&&&&&& Ruijie(config-FastEthernet 0/24)#ip dhcp snooping trust&
& 3）全局配置dhcp snooping ver mac-address
&&&&&& Ruijie(config)#ip dhcp snooping verify mac-address&& ------& 开启防止地址耗尽攻击防护
&& 4 )保存配置
&&&&&& Ruijie(config)#end
Ruijie#write ------& 确认配置正确，保存配置
五、验证命令
&&&&& 攻击者发送的DHCP报文的源MAC和Client字段中的MAC地址不匹配的情况下，DHCP请求报文会被丢弃。&
查看是否有许多IP地址分配给了同一个mac地址，如果说，则说明有此类攻击故障。
&& 1）Ruijie#show ip dhcp binding&
&&&&&&& IP address&&&&&&& Client-Identifier/&&&&&&&&& Lease expiration&&&&&&&&&&&&&&&& Type
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& Hardware address
&&&&&&& 192.168.2.1&&&&&& 01bc.aec5.4bca.8d&&&&& 000 days 23 hours 59 mins&& Automatic
开启verify mac-address功能后会形成dhcp snooping表，可发现IP地址与mac地址都是一一对应，无多个IP对应同一个mac的现象。
&& 2）Ruijie(config)#show ip dhcp snooping binding&&&&&&&& Total number of bindings: 1
&&&&&& MacAddress&&&&&&&& IpAddress&&&&&& Lease(sec)&& Type&&&&&&&&& VLAN& Interface
&&&&&& ------------------ --------------- ------------ ------------- ----- --------------------
&&&&&& bcae.c54b.ca8d&&&& 192.168.2.1&&&& 86341&&&&&&& dhcp-snooping 2&&&& GigabitEthernet 0/24
售前咨询热线
售后咨询热线
锐捷睿易产品咨询热线Loading...
反馈文档意见
反馈文档意见
（需要安装HedEx Lite）
您需要下载安装最新版本的HedEx Lite，安装完成后请重启浏览器
或将当前使用的HedEx Lite升级到最新版本
复制下载链接DHCP Snooping
开启DHCPSnooping，设置路由端口（信任端口）
SW建立一张DHCP监听绑定表（DHCPsnooping Binding）。一旦一个连接在非信任端口的客户端获得一个合法的DHCP Offer，交换机就会自动在DHCP监听绑定表里添加一个绑定条目，内容包括了该非信任端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信息
DHCP Server的冒充
由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。
DHCP耗竭攻击
由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造CHADDR的DHCP请求，导致DHCP服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种耗竭攻击，
所以并非所有来自用户端口的DHCP请求都被允许通过，交换机还会比较DHCP
请求报文的（报文头里的）源MAC地址和（报文内容里的）DHCP客户机的硬件地址（即CHADDR字段），只有这两者相同的请求报文才会被转发，否则将被丢弃。
客户端随意指定IP地址
客户端并非一定要使用DHCP服务，它可以通过静态指定的方式来设置IP地址。如果随便指定的话，将会大大提高网络IP地址冲突的可能性。
使用IPSG:IP
源防护（IP SourceGuard，简称 IPSG）是一种基于 IP/MAC
的端口流量过滤技术，它可以防止局域网内的 IP 地址欺骗攻击。IPSG
能够确保第 2 层网络中终端设备的 IP
地址不会被劫持，而且还能确保非授权设备不能通过自己指定 IP 地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。
交换机内部有一个 IP
源绑定表（IPSource Binding Table）作为每个端口接受到的数据包的检测标准，只有在两种情况下，交换机会转发数据：
1：所接收到的 IP
包满足 IP 源绑定表中 Port/IP/MAC
的对应关系
2：所接收到的是 DHCP
数据包，其余数据包将被交换机做丢弃处理。&
IP 源绑定表可以由用户在交换机上静态添加，或者由交换机从 DHCP
监听绑定表（DHCP Snooping Binding Table）自动学习获得。静态配置是一种简单而固定的方式，但灵活性很差，因此 Cisco
建议用户最好结合 DHCP Snooping 技术使用 IP Source Guard，由 DHCP
监听绑定表生成 IP 源绑定表。
DHCP snooping Binding拓展用途
Dynamic ARP Inspection (DAI)在交换机上提供IP地址和MAC地址的绑定，并动态建立绑定关系。DAI
以 DHCPSnooping绑定表为基础，对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现。DAI配置针对VLAN，对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这些技术可以防范“中间人”攻击。
在配置 DAI技术的接口上，用户端不能采用指定地址地址将接入网络。
由于 DAI检查 DHCP snooping绑定表中的IP和MAC对应关系，无法实施中间人攻击，攻击工具失效。
本文已收录于以下专栏：
相关文章推荐
接着上面的博客，这次讲讲spring Ioc中的一些具体XML的实现方法
inverse of control   = 控制反转
dependency injection = 依赖注入
首先，说下什么是跨域？有以下两种方式的跨域：
域名相同，端口不同
解决js的跨域问题可以使用jsonp。那接下来说下什么是jsonp？
jsonp不是新技术，它只是一种跨域的解决方案，使用...
1 基本信息
　　每个开发人员对Java.lang.ClassNotFoundExcetpion这个异常肯定都不陌生，这背后就涉及到了java技术体系中的类加载。Java的类加载机制...
深度解析HTTPS原理
HTTPS（全称：HyperText Transfer Protocol over Secure Socket Layer），其实 HTTPS 并...
swift中的排序算法总结
我们将这几种数组排序写进Array的分类里面方便调用冒泡排序算法步骤1．比较相邻的元素。如果第一个比第二...
今天重新学习了一遍SVM的内容，发现好多以前看不懂的推导公式都能理解了，赶紧记录下来。作者属于菜鸟级别，文中如有错误认识还请大家不吝赐教！
SVM（support vector machine，支持向...
Executors支持以下各种方法：
创建并返回设置有常用配置字符串的 ExecutorService 的方法。
创建并返回设置有常用配置字符串的 ScheduledExecutorServi...
1.1.1 摘要
日前，国内最大的程序员社区CSDN网站的用户数据库被黑客公开发布，600万用户的登录名及密码被公开泄露，随后又有多家网站的用户密码被流传于网络，连日来引发众多网民对自己账号...
第一阶段：状态机操作系统（1940年以前）
这是计算机处在萌芽时期出现的操作系统。这种操作系统运行在英国人巴贝斯（Babbes）想象中的自动机中。所谓状态机操作系统实际上算不上是我们现在通常所定义的...
文章转载自：Servlet 生命周期、工作原理
Servlet的生命周期：
Servlet 生命周期：Servlet 加载---&实例化---&服务---&销毁。init（）：在Servlet的...
他的最新文章
讲师：汪剑
讲师：刘道宽
您举报文章：
举报原因：
原文地址：
原因补充：
(最多只允许输入30个字)}