DHCP Snooping

DHCP 嗅探是一项保障DHCP服务的安全协议,为防范个人私自部署路由器而产生内网内IP地址冲突

端口角色

信任端口(TRUST)

该端口的DHCP报文将被接收

非信任端口(UNTRUST)

该端口的DHCP报文不做处理,被丢弃,也不会发送DHCP相关报文

7939518059fd45de9c02495fa356ad0e.jpg

 DHCP绑定表

通过截获DHCP Server与DHCP Client之间的DHCP报文,建立和维护一张记录DHCP Client信息的DHCP Snooping绑定表,该表包含用户MAC地址、IP地址、租用期、VLANID、接口等信息

cf26ac117ee64d768e9cfecbc684e75f.jpg

OP82

RFC 3046定义了DHCP Relay Agent Information Option(Option 82),该选项记录了DHCP Client的位置信息。DHCP Snooping设备或DHCP Relay通过在DHCP请求报文中添加Option82选项,将DHCP Client的精确物理位置信息传递给DHCP Server,从而使得DHCP Server能够为主机分配合适的IP地址和其他配置信息,实现对客户端的安全控制。

Option82包含两个常用子选项Circuit ID和Remote ID

Circuit ID子选项:主要用来标识客户端所在的VLAN、接口等信息

Remote ID子选项:主要用来标识客户端接入的设备,一般为设备的MAC地址

设备作为DHCP Relay时,使能或未使能DHCP Snooping功能都可支持Option82选项功能,但若设备在二层网络作为接入设备,则必须使能DHCP Snooping功能方可支持Option82功能。

相关配置

dhcp snooping enable全局启用功能(接口下即把接口配置为untrust)

dhcp snooping trusted(接口下启用)把接口划入trust

dhcp snooping alarm enable

dhcp snooping alarm threshold 100告警开启,对丢弃报文进行统计,阈值为100packet

reset dhcp snooping statistics清除 DHCP Snooping 的统计信息,以便准确查看丢弃报文的信息

dhcp option82 enable配置op82,记录客户端位置,可用于安全控制

### DHCP Snooping 配置实现 DHCP Snooping 是一种重要的网络安全特性,用于防止未经授权的 DHCP 服务器仿冒攻击、IP/MAC 地址欺骗以及其他相关安全威胁。以下是关于 DHCP Snooping 的配置和实现方式的详细说明。 #### 1. DHCP Snooping 的基本原理 DHCP Snooping 通过在交换机上维护一个 DHCP 绑定表来记录合法的 DHCP 客户端信息,包括 IP 地址、MAC 地址、VLAN ID 等参数。此绑定表可以用于其他安全特性(如 IP Source Guard 和 Dynamic ARP Inspection)以进一步增强网络安全性[^3]。 #### 2. DHCP Snooping 的实现步骤 以下是在华为设备上配置 DHCP Snooping 的方法: ```bash # 进入系统视图 system-view # 全局启用 DHCP Snooping 功能 dhcp enable dhcp snooping enable # 在指定 VLAN 上启用 DHCP Snooping vlan 10 dhcp snooping enable # 配置信任端口(连接到合法 DHCP 服务器的端口) interface GigabitEthernet 0/0/1 dhcp snooping trust # 在非信任端口上启用 DHCP Snooping interface GigabitEthernet 0/0/2 port link-type access port default vlan 10 ``` #### 3. DHCP Snooping 的关键配置点 - **全局启用**:必须在全局范围内启用 DHCP Snooping 功能,否则无法生效。 - **信任端口配置**:将连接到合法 DHCP 服务器的端口设置为信任端口,确保这些端口上的 DHCP 消息不会被丢弃。 - **非信任端口限制**:对于普通接入端口(非信任端口),交换机会过滤掉所有来自客户端的 DHCP Offer 和 DHCP ACK 消息,从而防止非法 DHCP 服务器的仿冒攻击[^2]。 #### 4. DHCP Snooping 的绑定表管理 DHCP Snooping 维护了一个动态绑定表,记录了每个 DHCP 客户端的 IP 地址、MAC 地址以及对应的 VLAN 和接口信息。可以通过以下命令查看绑定表内容: ```bash display dhcp snooping binding ``` 此外,还可以手动清除绑定表中的条目: ```bash reset dhcp snooping binding ``` #### 5. DHCP Snooping 的高级功能 - **Option 82**:通过插入 Option 82 信息,可以在 DHCP 请求中附加客户端的具体位置信息(如接入交换机和端口号),便于集中式 DHCP 服务器分配特定范围的 IP 地址[^4]。 - **IP Source Guard (IPSG)**:基于 DHCP Snooping 的绑定表,阻止不符合绑定表规则的流量进入网络。 - **Dynamic ARP Inspection (DAI)**:结合 DHCP Snooping 的绑定表,验证 ARP 报文中的源 IP 地址和 MAC 地址是否匹配,从而防止 ARP 中间人攻击。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值