1\目标
解决酒店类客房自带路由器dhcp服务器影响客人上网的情况.
2\办法
启用dhcp-snooping功能
3\问题
目前交换机软件版本低不支持在信任端口操作,需要先做升级.
4\处理过程
1:升级
这个升级过程简单,先到官方上下载对应的软件包.注意falsh空间余量,不要轻易删除原有的包.
2\验证
dis ver
H3C Comware Platform Software
Comware Software, Version 3.10, Release 2211P06
Copyright (c) 2004-2010 Hangzhou H3C Technologies Co., Ltd. All rights reserved.
H3C S2126-EI uptime is 0 week, 0 day, 0 hour, 0 minute
5\配置过程
2端口和8口接了两个dhcp服务器,目的是2端口下的为非法的,8端口下的为合法的.
注意:删除文件后,并没有清空.空间没有释放.需要做如下:
reset recycle-bin
Clear flash:/s31si_e-cmw310-r2209.bin ?[Y/N]:y
Clearing files from flash may take a long time. Please wait.
其他配置、配置MSTP
stp enable
stp region-configuration
region-name abc
revision-level 1
instance 1 vlan 200
active region-configuration
*********************************************************
5、配置接入层交换机只接电脑,不能接交换机,避免已经配置好的生成树受新添加的交换机影响造成网络的不稳定。
stp bpdu-protection
对于接入层设备,接入端口一般直接与用户终端(如PC机)或文件服务器相连,此时接入端口被设置为边缘端口以实现这些端口的快速迁移。当这些边缘端口接收到配置消息后,系统会自动将这些端口设置为非边缘端口,重新计算生成树,这样就引起网络拓扑的震荡。
正常情况下,边缘端口应该不会收到生成树协议的配置消息。如果有人伪造配置消息恶意攻击交换机,就会引起网络震荡。BPDU保护功能可以防止这种网络攻击。交换机上启动了BPDU保护功能以后,如果边缘端口收到了配置消息,系统就将这些端口关闭,同时通知网管这些端口被MSTP关闭。被关闭的边缘端口只能由网络管理人员恢复。
配置端口为边缘端口
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]stp edged-port enable
对于直接与终端相连的端口,请将该端口设置为边缘端口,同时启动BPDU保护功能。这样既能够使该端口快速迁移到转发状态,也可以保证网络的安全。
**********************************************************
配置、DHCP Snooping防止非法DHCP服务器分发地址影响正常网络
例:
开启交换机DHCP Snooping功能
[h3c]DHCP Snooping
配置合法的DHCP服务器转发端口
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]dhcp-snooping trust
配置防DHCP服务器仿冒功能
例:
开启交换机DHCP Snooping功能
[h3c]DHCP Snooping
开启防DHCP服务器仿冒功能
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]dhcp-snooping server-guard enable
意思是在端口上启用仿冒功能,万一有非法DHCP服务器进入即触发预设置的策略
配置防DHCP服务器仿冒功能的处理策略
[h3c-Ethernet1/0/5]dhcp-snooping server-guard method { trap | shutdown }
缺省情况下,交换机防DHCP服务器仿冒功能的处理策略为trap
显示DHCP服务器仿冒相关信息
display dhcp-snooping server-guard
其实配置snooping和仿冒功能效果都是一样,防止非法的DHCP服务器进入网络,只是h3c交换机不同型号支持的方法不同。
阅读(5660) | 评论(0) | 转发(0) |