文章目录前言拓扑图及拓扑说明相关配置总结前言DHCPSnooping是DHCP的一种安全特性，主要应用在交换机上，作用是屏蔽接入网络中的非法的DHCP服务器。即开启DHCPSnooping功能后，网络中的客户端只有从管理员指定的DHCP服务器获取IP地址。在园区网中，办公网段一般会用核心交换机采取dhcp地址池分配。在某些情况下，内部人员可能会私接路由器上外网，这就有可能导致办公网段的dhcp地址不能正常获取，使办公电脑不能正常上网或者导致网络瘫痪。拓扑图及拓扑说明用HCL模拟器来演示下，下图为拓扑图。拓扑说明：SW为核心交换机，JR_SW为接入交换机，RT为私接路由器，PC_4和PC_5位办

dhcp攻击类型攻击类型备注DHCPStarvationDHCP饿死攻击者发送大量的不完整的DHCP请求，把DHCP服务器内的可用IP地址快速消耗殆尽DHCPSpoofDHCP欺骗攻击者私自搭建DHCP服务器，影响客户端的IP地址获取DHCPSnooping：DHCP嗅探，保证DHCP客户端从合法的DHCP服务器获取IP地址，并记录DHCP客户端IP地址与MAC地址等参数的对应关系，防止网络上针对DHCP攻击截获DHCP报文并进行分析处理建立和维护一个DHCPSnooping绑定表（MAC、IP、租期、VLAN、接口）对DHCP报文进行过滤和限速DHCPSnooping端口类型类型备注信任（T

一、DHCP工作原理概述在学习DHCPSnooping之前，我们需要先回顾一下DHCP的工作原理。下面从两个场景分析DHCP工作原理1.DHCP无中继场景DHCP无中继场景(1)发现阶段DHCP客户端通过广播DHCPDiscover报文来向局域网内的DHCP服务器请求服务。(2)提供阶段DHCP服务器根据自身配置的IP地址池、相应的子网掩码和网关等信息，通过DHCPOffer报文应答客户端。(3)请求阶段若接受DHCPOffer报文中的配置，DHCP客户端则广播DHCPRequest报文以通告DHCP服务器和局域网内其他主机其生效的IP地址。()确认阶段DHCP客户端收到DHCPACK报文，会

感知组播组成员组播通信中，组播网络需要将组播数据发送给特定的组播组成员，因此组播网络需要知道组成员的位置与组成员所加的组播组。组播网络感知组播组成员的方法有手工静态配置和动态感知。手工静态配置在组播路由器上静态指定连接组播组成员的接口，静态配置组成员加组信息。手工静态方式灵活性差，配置工作量大，但相对比较稳定，对于新上线的组成员能够快速建立组播转发通路。动态感知通过IGMP协议通知组播网络，组播网络根据IGMP消息感知组播组成员所在接口，以及组成员加组信息。动态感知方式较为灵活，且配置简单，现网一般使用动态感知方式。IGMP概述IGMP（InternetGroupManagementProto

DHCPSnooping原理和配置基本原理配置一、基本原理DHCPSnooping功能：使能该技术可以防止非法用户攻击，使得客户端可以从合法的服务器获取IP。过程：使能了DHCPSnooping的设备将用户（DHCP客户端）的DHCP请求报文通过信任接口发送给合法的DHCP服务器。之后设备根据DHCP服务器回应的DHCPACK报文信息生成DHCPSnooping绑定表。后续设备再从使能了DHCPSnooping的接口接收用户发来的DHCP报文时，会进行匹配检查，能够有效防范非法用户的攻击。作用：在网络中使用DHCPSnooping技术可以控制DHCP服务器应答报文的来源，以防止网络中可能存在的

目录DHCPSnooping 与DHCPSnooping联动技术IP源防攻击技术（IPSG）动态ARP检测技术（DAI）配置DHCPSnoopingDHCPSnooping DHCPSnooping时DHCP的一种安全特性，用于保证DHCP客户端从合法的DHCP服务器获取IP地址，并记录DHCP客户端IP地址与MAC地址等参数的对应关系，防止网络上针对DHCP攻击通过配置信任端口和非信任端口来实现安全防护信任接口正常接收DHCP服务器响应的DHCPACK、DHCPNAK和DHCPOffer报文设备只会将DHCP客户端的DHCP请求报文通过信任接口发送给合法的DHCP服务器。非信任接口在接收到D

目录二层中组播数据转发存在的问题IGMPSnooping基本概念二层组播转发表动态端口老化时间工作过程二层中组播数据转发存在的问题 IGMPSnooping基本概念IGMPSnooping是IPv4环境下在二层交换机上提供的一种组播机制，解决二层组播泛洪问题通过侦听组播路由器和用户之间发送的IGMP报文，在交换机上创建二层组播转发表当交换机转发部分组播报文时，按照此组播转发表进行转发（如果没有对应的组播转发表项，泛洪到所有端口）二层组播转发表包含三个信息：组播地址/组播MAC地址、Vlan信息、端口（成员端口/路由器端口）路由器端口（Router-port）：路由器端口会出现在所有组播组中是交

一、实验目的1、了解DHCPsnooping原理；2、熟练掌握交换机DHCPsnooping的配置方法；3、了解该功能的广泛应用。二、应用环境1、在DHCP的网络环境中，管理员经常碰到的一个问题就是一些用户私自修改使用静态的ip地址，而不是使用动态获取Ip地址，而使用静态IP又会导致一些使用动态获取IP的用户无法正常使用网络，从而使网络应用环境变得复杂，管理员管理网络的难度加大，而DHCP动态绑定是指设备在DHCP的过程中通过记录合法用户的ip获取信息，并进行相关记录，从而进行相关的安全处理，从而引入DHCPsnooping地址绑定功能。DHCPsnooping地址绑定功能就是交换机通过对DH

1、端口安全用于防止mac地址的欺骗、mac地址泛洪攻击。主要思想就是在交换机的端口下通过手工或者自动绑定mac地址，这就就只能是绑定的mac地址能够通过。2、通过静态的端口绑定：将mac地址手工静态的绑定到相应的交换机的接口下。sw(config)#mac-address-tablestatic0001.0001.0001interfacef0/2vlan1//该接口属于vlan13、端口安全方式：①设置端口安全的一些属性：(config)#intf0/1(config-if)#switchportport-securitymaximum1可以允许此接口学习1个MAC，默认是最多只能学习一个

1、端口安全用于防止mac地址的欺骗、mac地址泛洪攻击。主要思想就是在交换机的端口下通过手工或者自动绑定mac地址，这就就只能是绑定的mac地址能够通过。2、通过静态的端口绑定：将mac地址手工静态的绑定到相应的交换机的接口下。sw(config)#mac-address-tablestatic0001.0001.0001interfacef0/2vlan1//该接口属于vlan13、端口安全方式：①设置端口安全的一些属性：(config)#intf0/1(config-if)#switchportport-securitymaximum1可以允许此接口学习1个MAC，默认是最多只能学习一个