华三交换机怎么防止dhcp

防止DHCP攻击在华三交换机上可以通过以下多种方式实现，需要结合交换机特性和网络实际需求进行配置：

1. DHCP Snooping

启用DHCP Snooping功能是核心防御手段：

- 全局开启：`system-view` → `dhcp snooping enable`

- 信任端口配置：在连接合法DHCP服务器的端口（如上行口）设置信任端口：`interface gigabitethernet 1/0/1` → `dhcp snooping trust`

- 非信任端口会丢弃DHCP服务器的响应报文，防止伪造DHCP服务器攻击。

2. DAI（动态ARP检测）

需先启用DHCP Snooping绑定表功能：

- 全局启用：`arp detection enable`

- 绑定DHCP Snooping生成的动态绑定表，阻止ARP欺骗：`arp detection trust`（信任端口除外）

- 非法ARP报文会被丢弃，防止中间人攻击。

3. 限速DHCP报文

在接入层端口限制DHCP请求速率：

- `interface gigabitethernet 1/0/24` → `dhcp snooping rate-limit 10`（每秒最多10个DHCP报文）

- 可有效防御DHCP泛洪攻击。

4. Option 82功能

启用DHCP Option 82插入功能，记录客户端位置信息：

- `dhcp snooping information enable`

- 可结合DHCP服务器策略，实现精细化的地址分配和溯源。

5. IP Source Guard

基于DHCP Snooping绑定表实现源IP过滤：

- `interface gigabitethernet 1/0/24` → `ip source check user-bind enable`

- 非绑定表内的IP流量会被丢弃，防止IP欺骗。

6. 静态绑定表

对于静态分配IP的设备，手动添加绑定表：

- `user-bind static ip-address 192.168.1.100 mac-address 0001-0001-0001 interface gigabitethernet 1/0/10`

7. VLAN隔离与端口安全

- 通过PVLAN限制同一VLAN内的二层互访。

- 启用端口安全限制MAC学习数量：`port-security enable` → `port-security max-mac-num 2`

扩展知识：

DHCPv6防御需单独配置`dhcpv6 snooping`。

大型网络建议结合IMC网管系统集中管理绑定表。

定期检查DHCP Snooping绑定表（`display dhcp snooping binding`）可发现异常租约。

所有配置生效后需通过`display dhcp snooping`和`display arp detection`验证状态，攻击防护需持续监控日志中的丢包记录。