01 先讲个真实事故
某园区网,用户突然大面积掉线,排查发现——
行政妹子把家用无线路由器插到工位网口,自带DHCP,给全办公室发 IP,网关指向自己……
端口隔离?拦不住!
因为隔离只限制二层互访,三层路由它管不了。
02 端口隔离的“天花板”
-
✅ 终端 A 无法 ping 终端 B
-
❌ 终端 A 可以拿到 192.168.100.x,再把 NAT 指向 10.0.0.x
-
❌ 终端 A 还能发免费 ARP,冒充网关
一句话:
隔离只能防“串门”,防不了“自立门户”。
03 DHCP Snooping——私设路由的终极克星
华为交换机把DHCP Snooping 玩出了花:
1.信任口白名单
只有信任口能回DHCP Offer,其他口一律丢弃。
2.动态绑定表
谁拿了哪个IP、MAC 多少,实时记录。
3.ARP Detection
收到ARP 先查绑定表,源 IP/MAC 不符直接丢包。
4.IP Source Guard
报文源地址不在绑定表里?直接拦截!
私接路由?DHCP 发不出、ARP 被掐、IP 被挡——三连杀!
04 5 行命令搞定配置
# 全局开 Snoopingdhcpsnooping enable# 合法服务器/上联口设为信任interfaceGigabitEthernet0/0/24dhcpsnooping trust# 用户端口默认不信任,开启联动安全interfaceGigabitEthernet0/0/1arpanti-attack check user-bind enableipsource check user-bind enable
05 效果对比表(收藏级)
|
功能维度 |
端口隔离 |
DHCP Snooping 全家桶 |
|---|---|---|
|
私设DHCP |
❌ 拦不住 |
✅ 直接丢弃 |
|
ARP 欺骗 |
❌ 管不了 |
✅ 绑定表校验 |
|
IP 伪装 |
❌ 无感 |
✅ 源地址过滤 |
|
部署难度 |
★☆☆ |
★★☆ |
写在最后
别再只靠端口隔离“裸奔”了。
DHCP Snooping = 私设路由的死刑宣判!
今天下班前,把配置刷进交换机,明早醒来世界都安静了。
发表回复