DHCP（动态主机配置协议）作为企业网络中IP地址自动分配的核心协议，极大简化了网络运维工作，但也因协议设计的安全性缺陷，容易成为攻击目标。常见的DHCP攻击如仿冒DHCP服务器、DHCP饿死、Flood攻击等，会导致合法终端无法获取IP、网络地址池耗尽、设备资源过载等严重问题。

HUAWEI与H3C作为主流交换机厂商，其防DHCP攻击配置均围绕DHCP Snooping核心功能展开，但在命令体系、配置逻辑、参数细节上存在差异，运维人员极易因混淆配置规则、忽略细节校验而踩坑。本文将针对4类核心DHCP攻击场景，分别拆解两类交换机的防护配置要点，重点剖析高频坑点及避坑方案，并提供统一的验证与排错思路，助力高效部署安全可靠的DHCP网络。

一、先搞懂：4类核心DHCP攻击与防护原理

在配置防护之前，需明确攻击本质与防护核心逻辑，避免“盲目配置”：

• 仿冒DHCP Server攻击：攻击者私自架设DHCP服务器，向终端分配错误IP/Gateway/DNS，导致终端无法上网。防护核心：通过DHCP Snooping区分“信任端口”（连接合法DHCP服务器/核心设备）与“非信任端口”（连接终端），丢弃非信任端口的DHCP响应报文。

• DHCP饿死攻击：攻击者伪造大量不同MAC地址的DHCP请求报文，耗尽DHCP地址池。防护核心：开启CHADDR（客户端硬件地址）检查、限制接口最大MAC学习数、开启防饿死功能。

• DHCP Flood攻击：攻击者短时间发送海量DHCP请求，占用交换机CPU/带宽资源。防护核心：对DHCP报文进行限速，开启接口攻击抑制。

• 伪造DHCP请求报文攻击：伪造续约（Renew）、释放（Release）等报文，导致IP租约异常。防护核心：开启DHCP请求报文检查，校验报文与DHCP Snooping绑定表的一致性。

二、核心避坑配置：按攻击类型拆解（HUAWEI vs H3C）

以下配置均基于“接入层交换机部署防护，核心层连接合法DHCP服务器”的典型组网，重点标注命令差异、高频坑点及解决方案。

场景1：防御仿冒DHCP Server攻击（DHCP Snooping核心配置）

此场景是最基础也最易踩坑的配置，核心是“正确划分信任/非信任端口”，两类设备均需遵循“仅上联核心的端口设为信任”原则。

1. 正确配置示例

华为交换机（以S5720系列为例）：

bash # 1. 全局使能DHCP（必须先开启，否则Snooping功能不生效） <Huawei> system-view [Huawei] dhcp enable # 2. 全局使能DHCP Snooping（指定IPv4，节约资源） [Huawei] dhcp snooping enable ipv4 # 3. 配置上联核心的接口为信任端口（假设G0/0/1上联） [Huawei] interface GigabitEthernet 0/0/1 [Huawei-GigabitEthernet0/0/1] dhcp snooping trusted [Huawei-GigabitEthernet0/0/1] quit # 4. 配置连接终端的接口为非信任端口（批量开启G0/0/2-24） [Huawei] interface range GigabitEthernet 0/0/2 to 0/0/24 [Huawei-if-range] dhcp snooping enable [Huawei-if-range] quit

H3C交换机（以S5560系列为例）：

bash # 1. 全局使能DHCP <H3C> system-view [H3C] dhcp enable # 2. 按VLAN开启DHCP Snooping（推荐，精准控制范围，假设终端在VLAN 10） [H3C] vlan 10 [H3C-vlan10] dhcp snooping enable # 3. 在VLAN内配置上联接口为信任端口（G0/0/1上联） [H3C-vlan10] dhcp snooping trust interface GigabitEthernet 0/0/1 # 4. 开启VLAN内DHCP Snooping绑定表记录（必备，用于后续校验） [H3C-vlan10] dhcp snooping binding record [H3C-vlan10] quit

2. 高频坑点与避坑方案

• 坑点1：华为交换机未全局开启DHCP，直接配置Snooping现象：执行display dhcp snooping configuration看不到配置，防护失效。原因：华为交换机的DHCP Snooping依赖全局DHCP功能启用。避坑：配置前必先执行dhcp enable命令，这是华为独有的前置要求，H3C无此限制。

• 坑点2：信任端口配置错误（将终端侧接口设为信任）现象：仿冒DHCP服务器的响应报文被放行，终端获取错误IP。原因：混淆信任端口定义，信任端口仅用于转发合法DHCP服务器的报文。避坑：配置前画清拓扑，仅将上联核心/合法DHCP服务器的接口设为信任，终端侧接口一律为非信任。

• 坑点3：H3C全局与VLAN级Snooping配置冲突现象：配置后不生效，执行display dhcp snooping configuration无记录。原因：H3C规定“全局开启的Snooping只能用全局命令关闭，VLAN级开启的只能用VLAN命令关闭”，混合配置会冲突。避坑：优先采用“VLAN级开启”（精准控制），避免全局与VLAN级混用。

场景2：防御DHCP饿死攻击（CHADDR检查+MAC限制）

攻击者通过伪造不同CHADDR字段的请求报文耗尽地址池，需同时开启CHADDR检查（校验CHADDR与报文源MAC一致）和接口MAC学习限制。

1. 正确配置示例

华为交换机：

bash # 1. 全局开启CHADDR检查 [Huawei] dhcp snooping check chaddr enable # 2. 限制终端侧接口最大MAC学习数（假设单接口最多连2台终端，设为2） [Huawei] interface range GigabitEthernet 0/0/2 to 0/0/24 [Huawei-if-range] mac-address limit maximum 2 action discard  # 超过则丢弃报文 [Huawei-if-range] quit

H3C交换机：

bash # 1. 在VLAN内开启CHADDR检查（需在VLAN视图下配置） [H3C] vlan 10 [H3C-vlan10] dhcp snooping check chaddr # 2. 限制接口最大MAC学习数（全局配置，适用于所有终端接口） [H3C] mac-address limit maximum 2 interface GigabitEthernet 0/0/2 to 0/0/24 action discard

2. 高频坑点与避坑方案

• 坑点1：仅开启CHADDR检查，未限制MAC学习数现象：仍有部分IP被耗尽。原因：若攻击者伪造的CHADDR与源MAC一致，CHADDR检查失效。避坑：CHADDR检查+MAC限制必须组合使用，双重防护。

• 坑点2：MAC限制阈值设置过小/过大现象：阈值过小（如1）导致合法终端（如桌面机+IP电话）无法上网；阈值过大（如100）无法防御攻击。避坑：根据实际接入终端数量设置，办公场景单接口建议设为2-3（预留IP电话/共享设备）。

• 坑点3：H3C在全局开启CHADDR检查（无效）现象：display dhcp snooping check chaddr无记录，攻击报文未被丢弃。原因：H3C的CHADDR检查仅支持在VLAN视图下配置，全局配置不生效。避坑：严格在对应终端VLAN内执行dhcp snooping check chaddr命令。

场景3：防御DHCP Flood攻击（报文限速+攻击抑制）

针对海量DHCP请求报文的泛洪攻击，需对终端侧接口进行DHCP报文限速，避免交换机CPU过载。

1. 正确配置示例

华为交换机：

bash # 终端侧接口配置DHCP报文限速（每秒最多10个，超则丢弃） [Huawei] interface range GigabitEthernet 0/0/2 to 0/0/24 [Huawei-if-range] dhcp snooping rate-limit 10 [Huawei-if-range] quit

H3C交换机：

bash # 1. 开启接口DHCP攻击抑制（10秒内超过20个请求则抑制） [H3C] interface range GigabitEthernet 0/0/2 to 0/0/24 [H3C-if-range] dhcp attack-defense enable [H3C-if-range] dhcp attack-defense threshold 20 interval 10 [H3C-if-range] quit # 2. 全局开启DHCP Flood攻击防范（补充防护） [H3C] dhcp flood-guard enable

2. 高频坑点与避坑方案

• 坑点1：限速阈值设置过低现象：合法终端批量上线时，DHCP请求被误判为攻击，无法获取IP。原因：阈值未考虑批量上线场景。避坑：根据终端数量调整，单接口建议设为10-20 pps（每秒包数），H3C的interval建议设为10秒（平衡灵敏度与误判率）。

• 坑点2：华为交换机全局配置DHCP限速（无效）现象：限速不生效，CPU仍过载。原因：华为的DHCP Snooping rate-limit仅支持接口级配置，全局无此命令。避坑：必须在终端侧接口或接口组下配置。

• 坑点3：H3C仅开启Flood-guard，未配置接口攻击抑制现象：防护效果差，仍有大量报文占用资源。原因：Flood-guard针对全局，接口级攻击抑制更精准。避坑：采用“全局Flood-guard+接口攻击抑制”组合配置，双重防护。

场景4：防御伪造DHCP请求报文攻击（请求报文检查）

攻击者伪造Renew/Release报文导致IP租约异常，需开启请求报文检查，校验报文与DHCP Snooping绑定表的一致性。

1. 正确配置示例

华为交换机：

bash # 全局开启DHCP Request报文检查（覆盖Renew/Release等报文） [Huawei] dhcp snooping check request enable

H3C交换机：

bash # 在VLAN内开启请求报文检查 [H3C] vlan 10 [H3C-vlan10] dhcp snooping check request

2. 高频坑点与避坑方案

• 坑点1：未开启DHCP Snooping绑定表记录现象：请求报文检查不生效，伪造报文仍能通过。原因：检查功能依赖绑定表（记录IP/MAC/VLAN/接口对应关系），未开启则无校验依据。避坑：华为需确保终端侧接口开启dhcp snooping enable（自动生成绑定表），H3C需执行dhcp snooping binding record（VLAN级）。

• 坑点2：H3C在接口下配置请求报文检查（无效）现象：检查功能不生效。原因：H3C的dhcp snooping check request仅支持VLAN级配置。避坑：必须在终端所属VLAN视图下配置。

三、通用避坑要点：两类设备都要注意的5个细节

1. DHCP Snooping绑定表固化（必做）：交换机重启后绑定表丢失，会导致IPSG/DAI等依赖绑定表的功能失效。华为：[Huawei] dhcp snooping binding save；H3C：[H3C] dhcp snooping binding save file flash:/dhcp_snooping_binding.cfg（指定保存路径）。

1. Option 82配置注意事项：若需开启Option 82（用于定位终端位置），需确保DHCP服务器支持该选项，且H3C设备名称不能含空格（否则无法处理报文）。华为：[Huawei-if] dhcp snooping option82 enable；H3C：[H3C-vlan10] dhcp snooping option82 insert（VLAN级配置）。

1. 聚合接口配置限制：若终端接口加入聚合组（Eth-Trunk），H3C的DHCP Snooping Option 82配置不生效，需退出聚合组后配置。

1. 跨VLAN DHCP防护：若DHCP服务器在其他VLAN（通过中继转发），需在中继设备上也开启DHCP Snooping，且中继接口设为信任端口。

1. 版本兼容性检查：华为S2300-SI的V100R006C05版本不支持DHCP Snooping；H3C老版本可能需升级固件才能支持部分功能。避坑：配置前通过display version检查版本，参考官方文档确认功能支持性。

四、配置验证与故障排查：3步快速定位问题

配置完成后，需通过以下命令验证，避免“配置即结束”的误区：

1. 基础配置验证

华为：display dhcp snooping configuration（查看Snooping全局/接口配置）、display dhcp snooping binding（查看绑定表）；

H3C：display dhcp snooping configuration [vlan 10]（查看VLAN级配置）、display dhcp snooping binding（查看绑定表）。

2. 攻击防护验证

华为：display dhcp snooping statistics（查看丢弃的非法报文数）；

H3C：display dhcp attack-defense statistics（查看攻击报文统计）、display dhcp snooping check statistics（查看检查丢弃的报文数）。

3. 常见故障排查思路

• 终端无法获取IP：先检查DHCP服务器地址池是否耗尽→再检查终端接口是否开启DHCP Snooping→最后检查是否存在非法DHCP服务器（通过display dhcp snooping statistics查看非信任端口的响应报文丢弃数）。

• 绑定表为空：华为检查终端接口是否开启dhcp snooping enable→H3C检查VLAN是否开启dhcp snooping binding record→检查终端是否成功获取IP。

• 配置不生效：检查设备版本是否支持该功能→检查全局DHCP是否开启（华为必做）→检查配置命令是否在正确视图下执行（如H3C的VLAN级命令）。

五、总结：两类设备防DHCP攻击配置核心原则

1. 精准划分信任边界：信任端口仅上联核心/合法DHCP服务器，终端侧一律为非信任，这是防御仿冒攻击的基础。

2. 组合防护不单一：针对不同攻击类型，采用“CHADDR检查+MAC限制+报文限速+请求检查”组合配置，避免单一防护的局限性。

3. 区分品牌配置差异：华为需先开启全局DHCP，命令多为接口级；H3C推荐VLAN级配置，部分功能（如CHADDR检查）仅支持VLAN视图，避免混淆命令位置。

4. 配置后必验证：通过查看配置、统计信息、绑定表，确保防护功能生效，避免“配置即结束”的误区。

遵循以上原则与避坑方案，可高效部署HUAWEI、H3C交换机的防DHCP攻击配置，保障网络IP分配的安全性与稳定性。若遇到复杂组网（如跨VLAN DHCP、DHCP中继场景），可进一步结合厂商官方文档细化配置。