华为交换机 01-09 MLD Snooping配置

合集下载

华为交换机DHCPSNOOPING功能使用案例解析

华为交换机DHCPSNOOPING功能使用案例解析
Ping网关测试不通
手动添加一个user-bind表项测试
[Quidway]user-bind static ip-address 192.168.0.250 mac-address c454-4400-3f71
可以ping通网关
得出结论:
如果一个网段中有部分预留的IP地址要使用的话,必须手动添加user-bind表项才行,如果是DHCP获取的IP地址可以自动的生产user-bind表项,不用添加,总之dhcp snooping + user-bind是一个非常好的功能,再也不用担心下面接入交换机上乱接小路由器的lan口而担心了!哈哈!
dhcp snooping trusted
4、dhcp snooping测试情况(一)
电脑获取到了来自dhcp信任端口24号口的dhcp报文,IP地址获取到192.168.0.0/24网段
发现来不信任端口23号端口上的dhcp报文被丢弃
[Quidway-Ethernet0/0/24]display dhcp snooping interface Ethernet 0/0/23
4.使用笔记本电脑获取IP地址
3、dhcp snooping测试配置(一)
#
dhcp enable
dhcp snooping enable
#
interface Ethernet0/0/23
dhcp snooping enable
#
interface Ethernet0/0/24
dhcp snooping enable
修改我笔记本电脑上的IP地址测试(修改为dhcp范围之外的192.168.0.250)
交换机上1号端口发现了在user-bind表现外的报文,直接丢弃了

组播IGMP Snooping配置教程

组播IGMP Snooping配置教程

组播IGMP Snooping配置教程1、打开IGMP Snooping功能使能全局IGMP Snooping功能,是进行其他IGMP Snooping配置的前提。

VLAN下使能IGMP Snooping功能,是VLAN下其他IGMP Snooping配置生效的前提。

缺省情况下,交换机的全局IGMP Snooping功能未使能。

1.1、优化接口板上组播报文的复制能力。

[Huawei]assign multicast-resource-mode optimize如果当前的组播报文需求超过8192份,使能IGMP Snooping功能之前,需要首先运行此命令优化接口板上组播报文的复制能力。

1.2、使能全局IGMP Snooping功能。

[Huawei]igmp-snooping enable1.3、配置VLAN中组播数据是按IP地址还是MAC地址转发。

缺省按IP地址转发。

[Huawei-vlan2]l2-multicast forwarding-mode ?ip IP modemac MAC mode配置VLAN中组播数据转发模式需要在没有使能该VLAN的IGMP Snooping功能时进行。

配置完成后需要使能VLAN内IGMP Snooping功能才会生效。

通过此命令将VLAN内组播数据转发模式配置为按MAC模式转发后,该VLAN 不能再被配置为组播VLAN。

如果当前设备按MAC模式转发组播数据,在网络中规划组播IP地址时,请避免选择为协议预留的组播IP地址映射成相同组播MAC地址的组播IP地址。

否则,可能造成使用保留组地址发送协议报文的协议无法正常运行。

比如:OSPF协议使用224.0.0.5发送协议报文,映射后的组播MAC地址为01-00-5E-00-00-05。

如果当前组播数据按MAC模式转发,并且使用的组播IP地址是225.0.0.5,就会造成OSPF协议不能正常运行。

如果当前VLAN对应的VLANIF接口绑定了VPN实例,但未使能IGMP或PIM,只能配置该VLAN按MAC模式转发组播数据。

华为S2700 S3700系列交换机 01-06 IGMP Snooping配置

华为S2700 S3700系列交换机 01-06 IGMP Snooping配置

6 IGMP Snooping配置关于本章IGMP Snooping配置在二层组播设备上,通过对上游三层设备和下游用户之间的IGMP报文进行分析,建立和维护二层组播转发表,实现组播数据报文在数据链路层的按需分发。

注意事项端口作为VPLS AC侧的接入端口时,如果该端口同时还作为组播流入接口,会导致对应组播数据无法正常转发。

6.1 IGMP Snooping概述IGMP Snooping (Internet Group Management Protocol Snooping)是一种IPv4二层组播协议,通过侦听三层组播设备和用户主机之间发送的组播协议报文来维护组播报文的出接口信息,从而管理和控制组播数据报文在数据链路层的转发。

6.2 设备支持的IGMP Snooping特性设备支持的IGMP Snooping特性包括:IGMP Snooping基本功能、IGMP SnoopingProxy功能、IGMP Snooping策略、成员关系快速刷新以及IGMP Snooping SSMMapping等。

6.3 缺省配置介绍缺省情况下,IGMP Snooping的配置信息。

6.4 配置IGMP Snooping基本功能配置IGMP Snooping基本功能,设备可以建立并维护二层组播转发表,实现组播数据报文在数据链路层的按需分发。

6.5 配置IGMP Snooping ProxyIGMP Snooping Proxy功能在IGMP Snooping的基础上使交换机代替上游三层设备向下游主机发送IGMP Query报文和代替下游主机向上游设备发送IGMP Report和Leave报文,这样能够有效的节约上游设备和本设备之间的带宽。

6.6 配置IGMP Snooping策略通过配置IGMP Snooping策略,可以控制用户对组播节目的点播,提高二层组播网络的可控性和安全性。

6.7 配置成员关系快速刷新配置成员关系快速刷新,使组播组成员加入或者离开组播组时设备能够快速响应成员变化,可以提高组播业务运行效率和用户体验。

华为交换机DHCP snooping配置教程

华为交换机DHCP snooping配置教程

华为交换机DHCP snooping配置教程DHCP Snooping是一种DHCP安全特性,在配置DHCP Snooping各安全功能之前需首先使能DHCP Snooping功能。

使能DHCP Snooping功能的顺序是先使能全局下的DHCP Snooping功能,再使能接口或VLAN下的DHCP Snooping功能。

图1 配置DHCP Snooping基本功能组网图如上图1所示,Switch_1是二层接入设备,将用户PC的DHCP请求转发给DHCP服务器。

以Switch_1为例,在使能DHCP Snooping功能时需要注意:使能DHCP Snooping功能之前,必须已使用命令dhcp enable使能了设备的DHCP功能。

全局使能DHCP Snooping功能后,还需要在连接用户的接口(如图中的接口if1、if2和if3)或其所属VLAN(如图中的VLAN 10)使能DHCP Snooping 功能。

当存在多个用户PC属于同一个VLAN时,为了简化配置,可以在这个VLAN 使能DHCP Snooping功能。

请在二层网络中的接入设备或第一个DHCP Relay上执行以下步骤。

1、使能DHCP Snooping功能[Huawei]dhcp snooping enable ?ipv4 DHCPv4 Snoopingipv6 DHCPv6 Snoopingvlan Virtual LAN<cr>或[Huawei]dhcp snooping over-vpls enable # 使能设备在VPLS网络中的DHCP Snooping功能或[Huawei-vlan2]dhcp snooping enable[Huawei-GigabitEthernet0/0/3]dhcp snooping enable2、配置接口信任状态[Huawei-GigabitEthernet0/0/2]dhcp snooping trusted或[Huawei-vlan3]dhcp snooping trusted interface GigabitEthernet 0/0/63、去使能DHCP Snooping用户位置迁移功能在移动应用场景中,若某一用户由接口A上线后,切换到接口B重新上线,用户将发送DHCP Discover报文申请IP地址。

igmp snooping的工作过程

igmp snooping的工作过程

igmp snooping的工作过程IGMP Snooping的工作过程IGMP(Internet Group Management Protocol)是一种用于管理和控制IP组播(Multicast)的协议。

而IGMP Snooping是一种基于交换机的技术,用于提高组播传输的效率和安全性。

下面将介绍IGMP Snooping的工作过程。

一、IGMP Snooping的基本原理IGMP Snooping通过监听网络中的IGMP报文,了解主机加入和离开组播组的信息,并根据这些信息来动态地维护一个组播组的成员表。

交换机根据组播组的成员表来决定将组播数据转发给哪些端口,从而实现组播数据的有效传输。

二、IGMP Snooping的工作步骤1. 初始化:交换机启动时,会开启IGMP Snooping功能,并初始化组播组的成员表为空。

2. 监听IGMP报文:交换机会监听网络中的IGMP报文,包括IGMP Query、IGMP Report和IGMP Leave报文。

IGMP Query 报文用于查询网络中的主机是否仍然对组播组感兴趣;IGMP Report报文用于主机加入或离开组播组;IGMP Leave报文用于主机主动离开组播组。

3. 维护组播组的成员表:a. 当交换机收到IGMP Report报文时,会根据报文中的信息更新相应组播组的成员表。

如果组播组在成员表中不存在,则添加该组播组及相关端口信息;如果组播组已存在,则更新该组播组的端口信息。

b. 当交换机收到IGMP Leave报文时,会根据报文中的信息从相应组播组的成员表中删除相应的端口。

4. 转发组播数据:a. 当交换机收到组播数据时,会根据组播数据的目的IP地址查询组播组的成员表,确定需要转发组播数据的端口。

b. 交换机将组播数据转发给成员表中相应的端口,只有对组播组感兴趣的主机才会接收到组播数据。

c. 如果某个组播组的成员表为空,交换机将不会转发该组播组的数据,从而节省网络带宽和处理资源。

IGMP Snooping 配置

IGMP Snooping 配置

15IGMP Snooping配置15.1概述15.1.1理解IGMP Snooping的工作原理IGMP Snooping是Internet Group Management Protocol Snooping(因特网组管理窥探)的简称。

它是运行在二层设备上的组播约束机制,用于管理和控制IP组播组,属于二层组播功能。

运行IGMP Snooping的设备通过对收到的IGMP报文进行分析,为端口和组播地址建立起映射关系,并根据这样的映射关系转发组播数据。

如图1所示,当无线设备没有运行IGMP Snooping时,组播数据报文在AC上VLAN内被广播,在AP上往所有的无线口广播;当无线AC和AP都运行了IGMP Snooping后,已知组播组的组播数据报文不会被广播,而是会精确转发给特定的接收者。

图1无线设计AC和AP上运行IGMP Snooping前后的对比15.1.2理解IGMP Snooping的两类端口我们先以有线设备来说明IGMP Snooping的两类端口。

如图2所示,设备连接组播路由器,在设备上运行了IGMP Snooping,存在三个用户A、B、C,接收者主机为A、C(即组播组成员)。

图 2.IGMP Snooping的两类端口路由连接口(Multicast Router Port):设备上连接组播路由器(三层组播设备),如Switch A的Eth0/1端口。

在运行了IGMP Snooping的设备上,收到所有源地址不为0.0.0.0的IGMP普通查询报文或PIM Hello报文的端口,都将视为动态路由连接口。

本设备上的所有路由连接口(包括动态和静态端口)都记录在路由连接口列表中。

路由连接口缺省情况下是对应VLAN内组播数据的接收者,也会被添加到IGMP Snooping转发表中。

成员端口(Member Port):IP组播组成员端口的简称,又称侦听者端口(Listener Port),表示设备上连接IP组播组成员侧的端口,如Switch A的Eth0/2、Eth0/3和Eth0/4端口。

IGMPSnooping配置命令

IGMPSnooping配置命令

IGMPSnooping配置命令IGMP Snooping配置命令10.2.2.1 ip igmp snooping命令:ip igmp snoopingno ip igmp snooping功能:打开交换机的igmp snooping 功能;本命令的no 操作为关闭igmp snooping。

命令模式:全局配置模式缺省情况:交换机缺省不启动igmp snooping。

使用指南:启动交换机的igmp snooping 功能,使交换机能够监视网络的组播流量,并且决定哪些端口可以接收组播流量。

举例:在全局模式启动igmp snooping。

switch (config)#ip igmp snooping10.2.2.2 ip igmp snooping vlan命令:ip igmp snooping vlan [vlan-id]no ip igmp snooping vlan [vlan-id]功能:打开指定vlan 的igmp snooping 功能;本命令的no 操作为关闭指定vlan 的igmp snooping 功能。

参数:[vlan-id]为vlan 号。

命令模式:全局配置模式缺省情况:vlan 缺省不打开igmp snooping。

使用指南:必须先打开交换机的igmp snooping 功能,才能打开指定vlan 的igmp snooping 功能。

本命令与命令ip igmp snooping vlan [vlan-id] query 互斥,即在同一个vlan 中同时只能做snooping 或者query 中的一种功能。

举例:在全局配置模式下启动vlan 100 的igmp snooping 功能。

switch (config)#ip igmp snooping vlan 10010.2.2.3 ip igmp snooping vlan mrouter命令:ip igmp snooping vlan [vlan-id] mrouter interface[interface –nam e]no ip igmp snooping vlan [vlan-id] mrouter功能:在指定vlan 内配置静态组播路由端口;本命令的no 操作为删除组播路由端口。

华为交换机配置DHCP Snooping功能

华为交换机配置DHCP Snooping功能

配置DHCP Snooping功能方法一:(vlan视图)[Quidway]dhcp enable------使能全局DHCP Snooping功能[Quidway]dhcp snooping enable[Quidway]vlan 10---------------用户所属的vlan[Quidway-vlan10]dhcp snooping enable[Quidway-vlan10]dhcp snooping trusted interface GigabitEthernet0/0/16-----------上行接server的端口配置为信任端口方法二:<Quidway> system-view[Quidway] dhcp enable[Quidway] dhcp snooping enable-----使能全局DHCP Snooping功能。

[Quidway] interface gigabitethernet 0/0/2[Quidway-GigabitEthernet0/0/2] dhcp snooping enable---------所有接口下使能DHCP Snooping 功能(闲麻烦可以把这些端口加入到一个端口组来操作,见下面)[Quidway-GigabitEthernet0/0/2] quit2.配置接口的Trusted/Untrusted模式# 配置DHCP Server侧的接口为Trusted模式。

[Quidway] interface gigabitethernet 0/0/1---------DHCP Server侧的接口[Quidway-GigabitEthernet0/0/1] dhcp snooping trusted[Quidway-GigabitEthernet0/0/1]dhcp snooping enable[Quidway-GigabitEthernet0/0/1] quit端口组操作:# 将以太网端口GigabitEthernet 0/0/1加入端口组portgroup1。

IGMP Snooping配置命令

IGMP Snooping配置命令

IGMP Snooping配置命令10.2.2.1 ip igmp snooping命令:ip igmp snoopingno ip igmp snooping功能:打开交换机的igmp snooping 功能;本命令的no 操作为关闭igmp snooping。

命令模式:全局配置模式缺省情况:交换机缺省不启动igmp snooping。

使用指南:启动交换机的igmp snooping 功能,使交换机能够监视网络的组播流量,并且决定哪些端口可以接收组播流量。

举例:在全局模式启动igmp snooping。

switch (config)#ip igmp snooping10.2.2.2 ip igmp snooping vlan命令:ip igmp snooping vlan [vlan-id]no ip igmp snooping vlan [vlan-id]功能:打开指定vlan 的igmp snooping 功能;本命令的no 操作为关闭指定vlan 的igmp snooping 功能。

参数:[vlan-id]为vlan 号。

命令模式:全局配置模式缺省情况:vlan 缺省不打开igmp snooping。

使用指南:必须先打开交换机的igmp snooping 功能,才能打开指定vlan 的igmp snooping 功能。

本命令与命令ip igmp snooping vlan [vlan-id] query 互斥,即在同一个vlan 中同时只能做snooping 或者query 中的一种功能。

举例:在全局配置模式下启动vlan 100 的igmp snooping 功能。

switch (config)#ip igmp snooping vlan 10010.2.2.3 ip igmp snooping vlan mrouter命令:ip igmp snooping vlan [vlan-id] mrouter interface [interface –name]no ip igmp snooping vlan [vlan-id] mrouter功能:在指定vlan 内配置静态组播路由端口;本命令的no 操作为删除组播路由端口。

华为交换机 01-01 SNMP配置

华为交换机 01-01 SNMP配置
1.2 设备支持的SNMP特性 本节通过对SNMP协议各个版本的对比,以及应用场景的介绍,为用户进行网络部署时 选取SNMP版本提供参考依据。
1.3 缺省配置 介绍系统常见参数的缺省配置。
1.4 配置设备使用SNMPv1与网管通信 配置SNMPv1功能后,网管和设备之间将使用SNMPv1进行通信。为了保证网管和设备 之间的正常通信,需要配置网管侧和Agent侧,本节只介绍Agent侧的配置,网管侧的 配置请参考网管的操作手册。
设备支持SNMPv1、SNMPv2c和SNMPv3。各特性的功能如表1-1所示,SNMP各版本 支持的特性如表1-2所示。SNMP各版本的应用场景如表1-3所示。用户可以根据现网 的运营情况,选择需要的版本使网管和被管理设备之间进行通信。
说明
当使用不同SNMP版本的NMS管理同一个设备时,在该设备上同时配置SNMPv1、SNMPv2c和 SNMPv3,保证它能和所有NMS通信。
操作步骤
步骤1 执行命令system-view,进入系统视图。
步骤2 (可选)执行命令snmp-agent,启动SNMP Agent服务。
缺省情况下,没有启动SNMP Agent服务。执行任意snmp-agent的配置命令(无论是 否含参数)都可以触发SNMP Agent服务启动,故该步骤可选。
步骤3 执行命令snmp-agent sys-info version v1,配置SNMNMPv1或SNMPv2c具有潜在安全风险,推荐使用SNMPv3协议。
1.1 SNMP概述 SNMP(Simple Network Management Protocol)是广泛应用于TCP/IP网络的网络管 理标准协议。SNMP提供了一种通过运行网络管理软件的中心计算机(即网络管理系 统)来管理设备的方法。

华为DHCPSnooping配置实例

华为DHCPSnooping配置实例

DHCP Snooping 配置时间:2021.03. 12 创作:欧阳文介绍DHCP Snooping的原理和配置办法,并给出配置举例。

配置DHCP Snooping的攻击防备功能示例组网需求如图913所示,SwitchA与SwitchB为接入设备,SwitchC为DHCP RelavoClientl 与Client2 辨别通过GE0/0/1 与GE0/0/2 接入SwitchA, Client3 通过GE0/0/1 接入SwitchB,其中Clientl与Client3通过DHCP方法获取IPv4地址,而Client2 使用静态配置的IPv4地址。

网络屮存在不法用户的攻击招致合法用户不克不及正常获取IP地址,管理员希望能够避免网络中针对DHCP的攻击,为DHCP用户提供更优质的办事。

图913配置DHCP Snooping的攻击防备功能组网图配置思路采取如下的思路在SwitchC上进行配置。

1•使能DHCP Snooping功能并配置设备仅处理DHCPv4报文。

2.配置接口的信任状态,以包管客户端从合法的办事器获取IP地址。

3.使能ARP与DHCP Snooping的联动功能,包管DHCP用户在异常下线时实时更新绑定表。

4.使能根据DHCP Snooping绑定表生成接口的静态MAC表项功能,以避免非DHCP用户攻击。

5.使能对DHCP报文进行绑定表匹配检查的功能,避免仿冒DHCP报文攻击。

6.配置DHCP报文上送DHCP报文处理单位的最年夜允许速率,避免DHCP报文泛洪攻击。

7.配置允许接入的最年夜用户数以及使能检测DHCPRequest报文帧头MAC与DHCP数据区屮CHADDR字段是否一致功能,避免DHCP Server办事拒绝攻击。

操纵步调1.使能DHCP Snooping 功能。

#使能全局DHCP Snooping功能并配置设备仅处理DHCPv4 报文。

#使能用户侧接口的DHCP Snooping功能。

华为交换机配置教程

华为交换机配置教程

华为交换机配置教程华为交换机配置教程华为交换机是目前市场上最常用的网络设备之一,它可以提供可靠的网络通信服务。

本教程将向您介绍如何配置华为交换机。

1. 首先,连接华为交换机到电源,并将其连接到本地网络。

确保所有的连接都是正确的,并确保交换机的电源正常工作。

2. 连接到交换机的计算机上,打开一个浏览器,并输入交换机的IP地址。

这个地址通常是192.168.1.1,但也可能因您的网络设置而有所不同。

输入正确的地址后,按下回车键,您会看到华为交换机的登录页面。

3. 在登录页面上,输入正确的用户名和密码。

默认的用户名是admin,密码是admin。

如果您修改了用户名和密码,请使用修改后的凭据登录。

4. 成功登陆后,您将进入华为交换机的控制面板。

在这里,您可以进行各种配置和管理操作。

例如,您可以创建和删除VLAN(虚拟局域网),设置端口安全性,配置子接口等等。

5. 如果您想配置VLAN,在控制面板上找到“VLAN”选项,并点击进入。

在VLAN页面上,您可以创建新的VLAN,并将端口分配给它。

您可以根据需要创建多个VLAN,并将它们与不同的端口进行关联。

6. 如果您想设置端口安全性,找到“安全性”选项,并点击进入。

在这里,您可以配置交换机的端口安全策略,设置允许和禁止连接的MAC地址,以及设置一些其他相关的参数。

7. 如果您想配置子接口,在控制面板上找到“接口”选项,并点击进入。

在接口页面上,您可以配置交换机的子接口参数,如VLAN ID,IP地址等等。

这对于划分不同的网络和实现更高的网络可用性非常有用。

8. 配置完成后,记得保存并应用您的改动。

在控制面板上找到“保存”选项,并点击保存您的配置。

这样,您的配置将被应用到交换机上。

华为交换机的配置教程到此结束。

通过按照以上步骤进行配置,您将能够对华为交换机进行各种操作和管理。

同时,我们也建议您参考华为交换机的用户手册和官方文档,以获取更详细的信息和指导。

希望这个教程能对您有所帮助,并对您在配置华为交换机时更加自信和熟练。

MLDSnooping技术介绍(内部资料)

MLDSnooping技术介绍(内部资料)

內容介紹
1.组播简介 2.MLD 协议简介 3.MLD Snooping 技术介绍
~4~
什么是MLD协议?
MLD是Multicast Listener Discovery Protocol(组播侦听者发现协议)的简称,它用 于IPv6路由器在其直连网段上发现组播侦听者。组播侦听者(Multicast Listener) 是那些希望接收组播数据的主机节点。 路由器通过MLD协议,可以了解自己的直连网段上是否有IPv6组播组的侦听者, 并在数据库里做相应记录。同时,路由器还维护与这些IPv6组播地址相关的定时 器信息。 MLD路由器使用IPv6单播链路本地地址作为源地址发送MLD报文。MLD使用 ICMPv6报文类型。所有的MLD报文被限制在本地链路上,跳数为1。 版本:MLDv1 、MLDv2
--------→ MLD Report
主机主动 向MLD查询 器发送 MLD Report 以声明加 入该IPv6组 播组。
~15~
MLD Snooping 工作机制
←------→ ~16~
主机发送 MLD Done 报 文,以通知组播路由器 自己离开了某个IPv6组 播组。
----→
----→
100
1/0/1 (forbidden)
Switch#show ipv6 mld snooping groups
Total Group Entries : 0 Total Source Entries: 0
~20~
实例
向eth1/0/2发送 MLD Report
~21~
实例
向eth1/0/2发送 MLD Report
~22~
实例
向eth1/0/2发送 MLD Done

交换机DHCP-snooping该如何配置

交换机DHCP-snooping该如何配置

交换机DHCP-snooping该如何配置交换机DHCP-snooping该如何配置DHCP监听被开启后,交换机限制用户端口(非信任端口)只能够发送DHCP请求,丢弃来自用户端口的所有其它DHCP报文。

下面是YJBYS店铺整理的交换机DHCP-snooping的配置方法,希望对你有帮助!案例需求1.PC可以从指定DHCP Server获取到IP地址;2.防止其他非法的DHCP Server影响网络中的主机。

参考如下如完成配置:DHCP Snooping配置步骤1.进入系统视图system-view2.全局使能dhcp-snooping功能[H3C]dhcp-snooping3.进入端口E1/0/2[H3C] interface Ethernet 1/0/23.将端口E1/0/2配置为trust端口,[H3C-Ethernet1/0/2]dhcp-snooping trustDHCP Snooping配置关键点1.当交换机开启了DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的`DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。

另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。

信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。

这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址;2.由于DHCP服务器提供给用户包含了服务器分配给用户的IP地址的报文―“dhcp offer”报文,由E1/0/2端口进入交换机并进行转发,因此需要将端口E1/0/2配置为“trust”端口。

如果交换机上行接口配置为Trunk端口,并且连接到DHCP中继设备,也需要将上行端口配置为“trust”端口。

【交换机DHCP-snooping该如何配置】。

华为交换机DHCPsnooping配置教程资料

华为交换机DHCPsnooping配置教程资料

华为交换机DHCP snooping配置教程DHCP Snooping是一种DHCP安全特性,在配置DHCP Snooping各安全功能之前需首先使能DHCP Snooping功能。

使能DHCP Snooping功能的顺序是先使能全局下的DHCP Snooping功能,再使能接口或VLAN下的DHCP Snooping功能。

图1 配置DHCP Snooping基本功能组网图如上图1所示,Switch_1是二层接入设备,将用户PC的DHCP请求转发给DHCP服务器。

以Switch_1为例,在使能DHCP Snooping功能时需要注意:使能DHCP Snooping功能之前,必须已使用命令dhcp enable使能了设备的DHCP功能。

全局使能DHCP Snooping功能后,还需要在连接用户的接口(如图中的接口if1、if2和if3)或其所属VLAN(如图中的VLAN 10)使能DHCP Snooping 功能。

当存在多个用户PC属于同一个VLAN时,为了简化配置,可以在这个VLAN 使能DHCP Snooping功能。

请在二层网络中的接入设备或第一个DHCP Relay上执行以下步骤。

1、使能DHCP Snooping功能[Huawei]dhcp snooping enable ?ipv4 DHCPv4 Snoopingipv6 DHCPv6 Snoopingvlan Virtual LAN<cr>或[Huawei]dhcp snooping over-vpls enable # 使能设备在VPLS网络中的DHCP Snooping功能或[Huawei-vlan2]dhcp snooping enable[Huawei-GigabitEthernet0/0/3]dhcp snooping enable2、配置接口信任状态[Huawei-GigabitEthernet0/0/2]dhcp snooping trusted或[Huawei-vlan3]dhcp snooping trusted interface GigabitEthernet 0/0/63、去使能DHCP Snooping用户位置迁移功能在移动应用场景中,若某一用户由接口A上线后,切换到接口B重新上线,用户将发送DHCP Discover报文申请IP地址。

华为数据中心5800交换机01-10 DHCP Snooping配置

华为数据中心5800交换机01-10 DHCP Snooping配置

10 DHCP Snooping配置关于本章介绍DHCP Snooping的原理和配置方法,并给出配置举例。

10.1 DHCP Snooping简介介绍DHCP Snooping的定义、由来和作用。

10.2 原理描述介绍DHCP Snooping的实现原理。

10.3 应用场景介绍DHCP Snooping的应用场景。

10.4 配置注意事项介绍DHCP Snooping配置注意事项。

10.5 缺省配置介绍设备DHCP Snooping功能的缺省配置,实际应用的配置可以基于缺省配置进行修改。

10.6 配置DHCP Snooping介绍DHCP Snooping的配置方法。

10.7 维护DHCP Snooping设备支持清除DHCP Snooping的统计信息、动态绑定表或备份DHCP Snooping动态绑定表等功能。

10.8 配置举例通过示例介绍DHCP Snooping的使用环境,配置思路与配置过程等。

10.9 常见配置错误介绍DHCP Snooping常见配置错误的处理方法。

10.10 参考标准和协议10.1 DHCP Snooping简介介绍DHCP Snooping的定义、由来和作用。

定义DHCP Snooping是DHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。

目的目前DHCP协议(RFC2131)在应用的过程中遇到很多安全方面的问题,网络中存在一些针对DHCP的攻击,如DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。

为了保证网络通信业务的安全性,可引入DHCP Snooping技术,在DHCP Client和DHCPServer之间建立一道防火墙,以抵御网络中针对DHCP的各种攻击。

华为DHCP Snooping配置实例

华为DHCP Snooping配置实例

DHCP Snooping设置装备摆设介绍DHCP Snooping的道理和设置装备摆设办法,并给出设置装备摆设举例.设置装备摆设DHCP Snooping的进击防备功效示例组网需求如图9-13所示,SwitchA与SwitchB为接入装备,SwitchC为DHCP Relay.Client1与Client2分离经由过程GE0/0/1与GE0/0/2接入SwitchA,Client3经由过程GE0/0/1接入SwitchB,个中Client1与Client3经由过程DHCP方法获取IPv4地址,而Client2应用静态设置装备摆设的IPv4地址.收集中消失不法用户的进击导致正当用户不克不及正常获取IP地址,治理员愿望可以或许防止收集中针对DHCP的进击,为DHCP用户供给更优质的办事.图9-13 设置装备摆设DHCP Snooping的进击防备功效组网图设置装备摆设思绪采取如下的思绪在SwitchC长进行设置装备摆设.1.使能DHCP Snooping功效并设置装备摆设装备仅处理DHCPv4报文.2.设置装备摆设接口的信赖状况,以包管客户端从正当的办事器获取IP地址.3.使能ARP与DHCP Snooping的联动功效,包管DHCP用户在平常下线时及时更新绑定表.4.使能依据DHCP Snooping绑定表生成接口的静态MAC表项功效,以防止非DHCP用户进击.5.使能对DHCP报文进行绑定表匹配检讨的功效,防止仿冒DHCP报文进击.6.设置装备摆设DHCP报文上送DHCP报文处理单元的最大许可速度,防止DHCP报文泛洪进击.7.设置装备摆设许可接入的最大用户数以及使能检测DHCPRequest报文帧头MAC与DHCP数据区中CHADDR字段是否一致功效,防止DHCP Server办事谢绝进击.操纵步调1.使能DHCP Snooping功效.# 使能全局DHCP Snooping功效并设置装备摆设装备仅处理DHCPv4报文.<HUAWEI> system-view[HUAWEI] sysname SwitchC[SwitchC] dhcp enable[SwitchC] dhcp snooping enable ipv4# 使能用户侧接口的DHCP Snooping功效.以GE0/0/1接口为例,GE0/0/2的设置装备摆设雷同,此处省略.[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] dhcp snooping enable [SwitchC-GigabitEthernet0/0/1] quit2.设置装备摆设接口的信赖状况:将衔接DHCP Server的接口状况设置装备摆设为“Trusted”.3.[SwitchC] interface gigabitethernet 0/0/34.[SwitchC-GigabitEthernet0/0/3] dhcp snooping trusted[SwitchC-GigabitEthernet0/0/3] quit5.使能ARP与DHCP Snooping的联动功效.[SwitchC] arp dhcp-snooping-detect enable6.使能依据DHCP Snooping绑定表生成接口的静态MAC表项功效.# 在用户侧接口进行设置装备摆设.以GE0/0/1接口为例,GE0/0/2的设置装备摆设雷同,此处省略.[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] dhcp snoopingsticky-mac[SwitchC-GigabitEthernet0/0/1] quit7.使能对DHCP报文进行绑定表匹配检讨的功效.# 在用户侧接口进行设置装备摆设.以GE0/0/1接口为例,GE0/0/2的设置装备摆设雷同,此处省略.[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] dhcp snooping check dhcp-request enable[SwitchC-GigabitEthernet0/0/1] quit8.设置装备摆设DHCP报文上送DHCP报文处理单元的最大许可速度为90pps.9.[SwitchC] dhcp snooping check dhcp-rate enable[SwitchC] dhcp snooping check dhcp-rate 9010.使能检测DHCP Request报文中GIADDR字段是否非零的功效.# 在用户侧接口进行设置装备摆设.以GE0/0/1接口为例,GE0/0/2的设置装备摆设雷同,此处省略.[SwitchC] interface gigabitethernet 0/0/1dhcp-giaddr enable[SwitchC-GigabitEthernet0/0/1] quit11.设置装备摆设接口许可接入的最大用户数并使能对CHADDR字段检讨功效.# 在用户侧接口进行设置装备摆设.以GE0/0/1接口为例,GE0/0/2的设置装备摆设雷同,此处省略.[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] dhcp snoopingmax-user-number 20[SwitchC-GigabitEthernet0/0/1] dhcp snooping check dhcp-chaddr enable[SwitchC-GigabitEthernet0/0/1] quit12.设置装备摆设丢弃报文告警和报文限速告警功效.# 使能丢弃报文告警功效,并设置装备摆设丢弃报文告警阈值.以GE0/0/1接口为例,GE0/0/2的设置装备摆设雷同,此处省略.[SwitchC] interface gigabitethernet 0/0/1[SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-chaddr enabledhcp-request enable[SwitchC-GigabitEthernet0/0/1] dhcp snooping alarmdhcp-reply enable[SwitchC-GigabitEthernet0/0/1] dhcp snooping alarmdhcp-chaddr threshold 120[SwitchC-GigabitEthernet0/0/1] dhcp snooping alarmdhcp-request threshold 120[SwitchC-GigabitEthernet0/0/1] dhcp snooping alarmdhcp-reply threshold 120[SwitchC-GigabitEthernet0/0/1] quit# 使能报文限速告警功效,并设置装备摆设报文限速告警阈值.[SwitchC] dhcp snooping alarm dhcp-rate enable[SwitchC] dhcp snooping alarm dhcp-rate threshold 50013.验证设置装备摆设成果# 履行敕令display dhcp snooping configuration检讨DHCP Snooping的设置装备摆设信息.[SwitchC] display dhcp snooping configuration# dhcp snooping enable ipv4dhcp snooping check dhcp-rate enable dhcp snooping check dhcp-rate 90 dhcp snooping alarm dhcp-rate enable dhcp snooping alarm dhcp-rate threshold 500 arp dhcp-snooping-detect enable # interface GigabitEthernet0/0/1 dhcp snooping enable dhcp snooping check dhcp-giaddr enabledhcp snooping check dhcp-request enable dhcp snooping alarm dhcp-request enable dhcp snooping alarm dhcp-request threshold 120 dhcp snooping check dhcp-chaddr enable dhcp snooping alarm dhcp-chaddr enable dhcp snooping alarm dhcp-chaddr threshold 120 dhcp snooping alarm dhcp-reply enable dhcp snooping alarm dhcp-reply threshold 120 dhcp snooping max-user-number 20# interface GigabitEthernet0/0/2 dhcp snooping enabledhcp snooping check dhcp-giaddr enabledhcp snooping check dhcp-request enable dhcp snooping alarm dhcp-request enable dhcp snooping alarm dhcp-request threshold 120 dhcp snooping check dhcp-chaddr enable dhcp snooping alarm dhcp-chaddr enable dhcp snooping alarm dhcp-chaddr threshold 120 dhcp snooping alarm dhcp-reply enable dhcp snooping alarm dhcp-reply threshold 120 dhcp snooping max-user-number 20# interface GigabitEthernet0/0/3dhcp snooping trusted ## 履行敕令display dhcp snooping interface检讨接口下的DHCP Snooping运行信息.[SwitchC] display dhcp snooping interfacegigabitethernet 0/0/1DHCP snooping running information for interface GigabitEthernet0/0/1 :DHCP snooping : EnableTrusted interface : No Dhcp user max number : 20 Current dhcp and nd user number : 0 Check dhcp-giaddr : Enable Check dhcp-chaddr : Enable Alarm dhcp-chaddr : Enable Alarm dhcp-chaddr threshold : 120 Discarded dhcp packets for check chaddr : 0 Check dhcp-request : Enable Alarm dhcp-request : Enable Alarm dhcp-request threshold : 120 Discarded dhcp packets for check request : 0 Check dhcp-rate : Disable (default)Alarm dhcp-rate : Disable (default)Alarm dhcp-rate threshold : 500 Discarded dhcp packets for rate limit : 0Alarm dhcp-reply : Enable Alarm dhcp-reply threshold : 120 Discarded dhcp packets for check reply : 0[SwitchC] display dhcp snooping interfacegigabitethernet 0/0/3DHCP snooping running information for interface GigabitEthernet0/0/3 :DHCP snooping : Disable (default)Trusted interface : Yes Dhcp user max number : 1024(default)Current dhcp and nd user number : 0 Check dhcp-giaddr : Disable (default)Check dhcp-chaddr : Disable (default)Alarm dhcp-chaddr : Disable (default)Check dhcp-request : Disable (default)Alarm dhcp-request : Disable (default)Check dhcp-rate : Disable (default)Alarm dhcp-rate : Disable(default)Alarm dhcp-rate threshold : 500Discarded dhcp packets for rate limit : 0Alarm dhcp-reply : Disable(default)设置装备摆设文件# SwitchC的设置装备摆设文件# sysname SwitchC# dhcp enable # dhcp snooping enable ipv4 dhcp snooping check dhcp-rate enable dhcp snooping check dhcp-rate 90 dhcp snooping alarm dhcp-rate enable dhcp snooping alarm dhcp-rate threshold 500 arp dhcp-snooping-detect enable#interface GigabitEthernet0/0/1dhcp snooping sticky-macdhcp snooping enable dhcp snooping check dhcp-giaddr enable dhcp snooping check dhcp-request enable dhcp snooping alarm dhcp-request enable dhcp snooping alarm dhcp-request threshold 120 dhcp snooping check dhcp-chaddr enable dhcp snooping alarm dhcp-chaddr enable dhcp snooping alarm dhcp-chaddr threshold 120 dhcp snooping alarm dhcp-reply enable dhcp snooping alarm dhcp-reply threshold 120 dhcp snooping max-user-number 20#interface GigabitEthernet0/0/2dhcp snooping sticky-macdhcp snooping enable dhcp snooping check dhcp-request enable dhcp snooping alarm dhcp-request enable dhcp snooping alarm dhcp-request threshold 120 dhcp snooping check dhcp-chaddr enabledhcp snooping alarm dhcp-chaddr enable dhcp snooping alarm dhcp-chaddr threshold 120 dhcp snooping alarm dhcp-reply enable dhcp snooping alarm dhcp-reply threshold 120dhcp snooping max-user-number 20#interface GigabitEthernet0/0/3dhcp snooping trusted#return。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

9 MLD Snooping配置关于本章MLD Snooping配置在二层组播设备上,通过对上游三层设备和下游用户之间的MLD报文进行分析,建立和维护IPv6的二层组播转发表,实现组播数据报文在数据链路层的按需分发。

注意事项端口作为VPLS AC侧的接入端口时,如果该端口同时还作为组播流入接口,会导致对应组播数据无法正常转发。

9.1 MLD Snooping概述MLD Snooping (Multicast Listener Discovery Snooping)是一种IPv6二层组播协议,通过侦听三层组播设备和用户主机之间发送的组播协议报文来维护组播报文的出接口信息,从而管理和控制组播数据报文在数据链路层的转发。

9.2 设备支持的MLD Snooping特性设备支持的MLD Snooping特性包括:MLD Snooping基本功能、MLD Snooping策略、成员快速刷新等。

9.3 缺省配置介绍缺省情况下,MLD Snooping的配置信息。

9.4 配置MLD Snooping基本功能配置MLD Snooping基本功能,设备可以建立并维护IPv6二层组播转发表,实现组播数据报文在数据链路层的按需分发。

9.5 配置MLD Snooping策略通过配置MLD Snooping策略,可以控制用户对组播节目的点播,提高二层组播网络的可控性和安全性。

9.6 配置成员关系快速刷新配置成员关系快速刷新,使组播组成员加入或者离开组播组时设备能够快速响应成员变化,可以提高组播业务运行效率和用户体验。

9.7 维护MLD SnoopingMLD Snooping的维护,包括清除MLD Snooping表项、清除MLD Snooping的统计信息、监控MLD Snooping运行状态。

9.8 配置举例针对如何在IPv6组播网络中配置MLD Snooping 基本功能、静态端口、MLD Snooping 查询器、成员端口快速离开、响应拓扑变化发送查询报文,分别提供配置举例。

9.9 常见配置错误介绍了常见的配置错误的故障现象以及处理步骤。

9.1 MLD Snooping 概述MLD Snooping (Multicast Listener Discovery Snooping)是一种IPv6二层组播协议,通过侦听三层组播设备和用户主机之间发送的组播协议报文来维护组播报文的出接口信息,从而管理和控制组播数据报文在数据链路层的转发。

MLD Snooping 功能在IPv6组播网络中,当上游设备将组播报文转发下来以后,处于接入边缘的设备负责将组播报文转发给组播用户,使用户收看所点播的节目。

如图9-1所示,缺省情况下,组播数据在数据链路层被广播,造成带宽浪费。

在二层设备(如图9-1中的Switch )上配置MLD Snooping 后,Switch 会侦听上游设备和下游主机之间交互的MLD 报文,通过分析报文中携带的信息,建立二层组播转发表项,从而指导组播数据在数据链路层按需转发。

图9-1 二层设备运行MLD Snooping 前后的对比RecieverARecieverBMulticast packetMulticast packet transmissionwithout MLD Snooping RecieverA RecieverBMulticast packet transmission when MLD Snooping runsMLD Snooping 优势MLD Snooping 通过二层组播将信息只转发给有需要的接收者,有以下优点:●减少了二层网络中的数据广播,节约了带宽。

●实现组播数据在二层按需分发,增强了信息安全性。

9.2 设备支持的MLD Snooping特性设备支持的MLD Snooping特性包括:MLD Snooping基本功能、MLD Snooping策略、成员快速刷新等。

说明MLD Snooping作为一个二层组播特性,本章中涉及到接口的配置,都是在二层物理接口(包括Eth-Trunk接口)下进行配置。

在MLD协议报文(不包括MLDv2),S2700EI最多能够同时处理大约60个组播用户的点播需求;S3700EI最多能够同时处理大约150个组播用户的点播需求。

MLD Snooping基本功能交换机支持配置基于VLAN的MLD Snooping功能。

MLD Snooping的基本功能有:●支持MLDv1和MLDv2,版本可配置。

由于不同版本的MLD协议报文不相同,因此需要为交换机配置和上游三层设备相同的版本。

●支持配置静态路由器端口和成员端口,实现组播数据快速稳定转发。

●支持配置MLD Snooping查询器功能,当上游没有启用MLD查询器时,交换机可以代替上游设备发送MLD查询报文。

MLD Snooping策略根据不同的场景要求,可以在交换机上进行一些配置,对组播数据进行过滤。

●通过配置组播组过滤策略,可以限制用户加入的组播组范围。

●通过配置接口下二层组播数据过滤,可以拒绝从指定VLAN收到的组播数据。

●通过配置丢弃未知组播报文,使未知组播报文不在VLAN内广播。

●通过配置接口可以学习的最大组播转发表项数量,可以控制接口上的组播数据流量。

成员快速刷新成员快速刷新,即成员加入或者离开组播组时交换机快速响应成员变化,可以提高组播业务运行效率和用户体验。

主要包括以下几个功能:●调整动态成员端口老化时间。

●调整动态路由器端口老化时间。

●成员端口快速离开。

●二层网络拓扑变化时发送查询报文。

MLD Snooping-CPCAR注意事项CPCAR通过对上送控制平面的不同业务的协议报文分别进行限速,来保护控制平面的安全。

设备针对每类协议报文都有缺省的CPCAR值,部分协议报文的CPCAR值需要根据实际业务规模和具体的用户网络环境进行调整。

调整CPCAR不当将会影响网络业务,如果需要调整MLD报文的CPCAR,建议联系华为工程师处理。

9.3 缺省配置介绍缺省情况下,MLD Snooping的配置信息。

表9-1列出了MLD Snooping的缺省配置。

表9-1 MLD Snooping缺省配置9.4 配置MLD Snooping基本功能配置MLD Snooping基本功能,设备可以建立并维护IPv6二层组播转发表,实现组播数据报文在数据链路层的按需分发。

前置任务在配置MLD Snooping基本功能之前,需完成以下任务:●连接接口并配置接口的物理参数,使接口的物理层状态为Up。

●创建VLAN。

●接口加入VLAN。

配置流程9.4.1 使能MLD Snooping和9.4.2 配置MLD Snooping版本为必选配置,其他为可选配置,请根据需要选配。

9.4.1 使能MLD Snooping背景信息使能全局MLD Snooping功能,是进行其他MLD Snooping配置的前提。

VLAN下使能MLD Snooping功能,是VLAN下其他MLD Snooping配置生效的前提。

如果VLAN下未使能MLD Snooping,其他的配置成功但不生效,直至当前VLAN使能MLD Snooping功能,该配置才能生效。

缺省情况下,全局MLD Snooping功能未使能。

操作步骤步骤1执行命令system-view,进入系统视图。

步骤2执行命令mld-snooping enable,使能全局MLD Snooping功能。

步骤3执行命令vlan vlan-id,进入VLAN视图。

步骤4(可选)执行命令l2-multicast forwarding-mode { ip | mac },配置VLAN中组播流是按IP地址还是MAC地址转发。

缺省情况下,S2700按MAC模式转发组播数据,S3700按IP模式转发组播数据。

配置VLAN中组播数据转发模式需要在没有使能该VLAN的MLD Snooping功能时进行。

配置完成后需要使能MLD Snooping功能才会生效。

如果当前设备按MAC模式转发组播数据,在网络中规划组播IP地址时,请避免选择为协议预留的组播IP地址映射成相同组播MAC地址的组播IP地址。

否则,可能造成使用保留组地址发送协议报文的协议无法正常运行。

比如:OSPFv3协议使用FF02::5发送协议报文,映射后的组播MAC地址为33-33-00-00-00-05。

如果当前组播数据按MAC模式转发,并且使用的组播IP地址是FF13::5,就会造成OSPF协议不能正常运行。

说明只有S3700EI支持通过此命令改变默认组播数据转发模式。

步骤5执行命令mld-snooping enable,使能VLAN的MLD Snooping功能。

说明可以在系统视图下使用mld-snooping enable [ vlan { vlan-id1 [ to vlan-id2 ] } &<1-10> ]命令,使能多个VLAN的MLD Snooping功能。

MLD Snooping功能不能和N:1(N大于1) VLAN Mapping功能配合使用。

S2700的MLD Snooping功能不能和全局的VLAN Mapping功能配合使用。

----结束9.4.2 配置MLD Snooping版本背景信息MLD协议用于维护三层组播设备和主机之间的组成员关系,有v1、v2两个版本。

在二层设备上配置MLD Snooping版本,设备可以处理相应版本的MLD报文。

一般二层设备上配置和三层组播设备一致的版本。

如果三层组播设备没有启用MLD,则在二层设备上配置和成员主机相同或高于成员主机的版本。

同一VLAN内必须运行同一个版本的MLD协议。

如果VLAN内存在支持不同版本的主机,需要配置MLD Snooping版本为MLDv2,使设备可以处理所有主机的报文。

操作步骤步骤1执行命令system-view,进入系统视图。

步骤2执行命令vlan vlan-id,进入VLAN视图。

步骤3执行命令mld-snooping version version,配置MLD Snooping可以处理的MLD版本。

缺省情况下,设备可以处理MLDv1报文,但无法处理MLDv2的报文。

说明如果配置MLD Snooping可以处理的IGMP版本为MLDv2:●则不能改变设备默认的二层组播转发模式。

●S2700按MAC模式转发组播数据。

----结束9.4.3 (可选)配置静态路由器端口背景信息路由器端口一般是二层设备上朝向上游三层组播设备(组播路由器或三层交换机)的接口。

路由器端口从上游接收组播数据报文并向成员端口转发。

VLAN内使能MLDSnooping功能后,加入该VLAN的接口默认会学习组播协议报文。

当一个接口接收到MLD Query报文或PIM Hello报文时,二层设备会标识该接口为动态路由器端口。

相关文档
最新文档