1. 为什么你的网络总“抽风”?DHCP Snooping来救场
你有没有遇到过这种情况?办公室的网络用得好好的,突然有一片区域的电脑集体“罢工”,要么上不了网,要么获取到一个莫名其妙的IP地址,比如“169.254.x.x”这种。重启电脑、重启交换机,折腾半天可能好一阵,过段时间又复发。很多时候,这锅还真不是运营商或者核心设备的,问题很可能就出在你身边——有人私接了一个家用小路由器。
这种私接行为,在技术层面带来的最大威胁之一,就是引入了“非法DHCP服务器”。你可以把DHCP服务器想象成公司前台负责发放工牌和座位号(IP地址)的专员。现在,有个员工自己带了个“山寨前台”(私接路由器,它默认也开启了DHCP服务),也在办公室里大声喊:“来我这领工牌!”。一些新来的电脑(刚开机的PC)懵了,可能就跑到这个“山寨前台”那里领了一个错误的工牌(比如192.168.1.x网段的IP),结果自然找不到公司的内部资源(服务器),也出不了大门(网关错误,无法上网)。
H3C交换机上的DHCP Snooping功能,就是为了根治这个问题而生的。它的核心作用就一句话:充当网络里的“保安”,只认准官方指定的DHCP服务器(信任端口),拦截并丢弃所有来自其他端口的DHCP服务器响应。这样一来,网络里的电脑就只能从你规划好的、合法的DHCP服务器那里获取IP地址,彻底杜绝了私接路由器导致的地址混乱。这个功能配置起来并不复杂,但效果立竿见影,是园区网、企业网运维中必备的安全加固手段。接下来,我就用一个完整的实验场景,带你一步步搞定它的配置,并亲眼看看它是如何“破案”的。
2. 实验环境搭建:模拟一个真实的“案发现场”
光讲理论有点干,我们直接动手搭一个环境,把问题复现出来,再解决它。这样你理解起来会更透彻。我使用H3C的HCL模拟器来操作,这和真机的命令几乎完全一致。
实验拓扑很简单,但很典型:
- 核心交换机 (SW):扮演公司网络的核心,同时也是合法的DHCP服务器,负责给办公电脑分配192.168.10.0/24网段的IP。
- 接入交换机 (JR_SW):连接员工电脑的楼层交换机。
- 办公电脑 (PC_4, PC_5):就是咱们员工的电脑,自动获取IP。
- 私接路由器 (RT):某个员工为了自己方便,偷偷接上的家用路由器,它的DHCP服务会分配192.168.1.0/24网段的IP。
这个场景非常真实:私接路由器的WAN口接入了公司网络,它的LAN口成了一个潜在的“非法DHCP服务器源”。当它的DHCP响应报文传到接入交换机上,就会和核心交换机的响应“打架”,造成网络故障。
首先,我们得让网络在“出事前”先正常起来。也就是先配置好合法的DHCP服务。
步骤一:配置核心交换机SW的DHCP服务 核心交换机需要开启DHCP功能,并创建一个地址池。这里我们通常在SVI接口(Vlan-interface)上配置IP地址作为网关,然后基于全局创建地址池。
# 进入系统视图,首先全局开启DHCP功能
<SW> system-view
[SW] dhcp enable
# 创建VLAN 1的接口(假设所有设备在VLAN 1中,实际请根据规划配置)
[SW] interface Vlan-interface 1
# 配置该接口的IP地址,也就是这个网段的网关
[SW-Vlan-interface1] ip address 192.168.10.1 24
[SW-Vlan-interface1] quit
# 创建一个名为1的DHCP地址池
[SW] dhcp server ip-pool 1
# 指定网关地址
[SW-dhcp-pool-1] gateway-list 192.168.10.1
# 指定要分配的网段和掩码
[SW-dhcp-pool-1] network 192.168.10.0 mask 255.255.255.0
# 可以继续配置

50

被折叠的 条评论
为什么被折叠?



