本帖最后由 yzy 于 2019-1-7 16:17 编辑
DHCP Snooping 是什么
DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。(俗称就是只允许指定的DHCP报文通过,其他DHCP 报文拒绝)
使用场景 学校、办公、宾馆等场景,用户私接小路由器,把线路接到小路由器的LAN口,小路由器没有关闭DHCP服务就会导致冲突,导致同一个广播域中有多个DHCP服务器,导致同一个广播域中用户获取到错误的IP地址用户无法正常上网。
网络拓扑图
一、网络中已经私接了小路由器导致DHCP服务器冲突如何找出这个小路由器 1、通过Wireshark 抓包查看DHCP服务器仿冒者的MAC地址 数据包中仿冒者的MAC 4c:1f:cc:7e:67:8e
2、通过查看交换机的MAC地址表找出这个MAC地址是在那个接口上 首先在接入层设备一路往上查看交换机的MAC地址表 通过命令 display mac-address 4c1f-cc7e-678e 查看发现这个MAC地址是在GE0/0/24口,但是GE0/0/24口是我们的上联接口,那么说明这个MAC地址是在上联设备学习过来的。
3、查看上联设备的MAC地址表发现这个MAC是接在设备GE0/0/20口上
4、可以把这个接口进行down后再看PC是否能获取到正确的IP [huiju]interface GigabitEthernet 0/0/20 #进入接口视图 [huiju-GigabitEthernet0/0/20]shutdown #关闭端口 Jan 7 2019 15:39:45-08:00 huiju %%01PHY/1/PHY(l)[2]: GigabitEthernet0/0/20: change status to down #日志
5、查看PC是否能获取到正确的IP地址,需要把本地连接进行禁用再启用,让PC重新发DHCP广播包获取IP 这时查看发现PC能获取到正确的IP地址
二、DHCP snooping可以配置在汇聚交换机,也可以配置在接入交换机 配置在汇聚交换机如果某个接入交换机有DHCP 仿冒者只会扰乱这个接入层交换机,不会影响到其他接入层设备 如果配置在接入层配置的设备数量会多,但是如果出现DHCP 仿冒者不会影响到任何设备
1、配置DHCP snooping 启用DHCP服务和 DHCP snooping 服务 [huiju]dhcp enable #启用DHCP服务 [huiju]dhcp snooping enable #启用DHCP snooping服务
2、在接口或者VLAN中启用DHCP snooping 接口和VLAN二选一 VLAN配置DHCP snooping [huiju]vlan 100 #进入VLAN [huiju-vlan100]dhcp snooping enable #启用dhcp snooping [huiju-vlan100]dhcp snooping trusted interface GigabitEthernet 0/0/1 #设置dhcp snooping 信任接口(表示只接受从这个接口发出的DHCP 报文)
接口配置DHCP snooping [huiju]interface GigabitEthernet 0/0/10 #进入接口视图 [huiju-GigabitEthernet0/0/10]dhcp snooping enable #启用dhcp snooping [huiju]interface GigabitEthernet 0/0/1 #进入接口视图 [huiju-GigabitEthernet0/0/1]dhcp snooping trusted #设置dhcp snooping 信任接口(表示只接受从这个接口发出的DHCP 报文)
基本参数配置已经配置完了,如果还有其他联动效果需求可以参考下面讲解
三、DHCP snooping 其他常用参数 1、去使能DHCP Snooping用户位置迁移功能 在移动应用场景中,若某一用户由接口A上线后,切换到接口B重新上线,用户将发送DHCP Discover报文申请IP地址。 缺省情况下设备使能DHCP Snooping功能之后将允许该用户上线,并刷新DHCP Snooping绑定表。 但是在某些场景中,这样的处理方式存在安全风险,比如网络中存在攻击者仿冒合法用户发送DHCP Discover报文,最终导致DHCP Snooping绑定表被刷新,合法用户网络访问中断。 此时需要去使能DHCP Snooping用户位置迁移功能,丢弃DHCP Snooping绑定表中已存在的用户(用户MAC信息存在于DHCP Snooping绑定表中)从其他接口发送来的DHCP Discover报文。 [Huawei]undo dhcp snooping user-transfer enable
2、配置ARP与DHCP Snooping的联动功能 DHCP Snooping设备在收到DHCP用户发出的DHCP Release报文时将会删除该用户对应的绑定表项,但若用户发生了异常下线而无法发出DHCP Release报文时,DHCP Snooping设备将不能够及时的删除该DHCP用户对应的绑定表。 使能ARP与DHCP Snooping的联动功能,如果DHCP Snooping表项中的IP地址对应的ARP表项达到老化时间,则DHCP Snooping设备会对该IP地址进行ARP探测,如果在规定的探测次数内探测不到用户,设备将删除用户对应的ARP表项。之后,设备将会再次按规定的探测次数对该IP地址进行ARP探测,如果最后仍不能够探测到用户,则设备将会删除该用户对应的绑定表项。 只有设备作为DHCP Relay时,才支持ARP与DHCP Snooping的联动功能。 [Huawei]arp dhcp-snooping-detect enable
3、配置用户下线后及时清除对应MAC表项功能 当某一DHCP用户下线时,设备上其对应的动态MAC表项还未达到老化时间,则设备在接收到来自网络侧以该用户IP地址为目的地址的报文时,将继续根据动态MAC表项转发此报文。 这种无效的报文处理在一定程度上将会降低设备的性能。 设备在接收到DHCP用户下线时发送DHCP Release报文后,将会立刻删除用户对应的DHCP Snooping绑定表项。利用这种特性,使能当DHCP Snooping动态表项清除时移除对应用户的MAC表项功能,则当用户下线时,设备将会及时的移除用户的MAC表项。 [Huawei]dhcp snooping user-offline remove mac-address
4、使能DHCP Server探测功能 在使能DHCP Snooping功能并配置了接口的信任状态之后,设备将能够保证客户端从合法的服务器获取IP地址,这将能够有效的防止DHCP Server仿冒者攻击。 但是此时却不能够定位DHCP Server仿冒者的位置,使得网络中仍然存在着安全隐患。 通过配置DHCP Server探测功能,DHCP Snooping设备将会检查并在日志中记录所有DHCP回应报文中携带的DHCP Server地址与接口等信息,此后网络管理员可根据日志来判定网络中是否存在伪DHCP Server进而对网络进行维护。 [Huawei]dhcp server detect
5、防止DHCP报文泛洪攻击 在DHCP网络环境中,若存在DHCP用户短时间内向设备发送大量的DHCP报文,将会对设备的性能造成巨大的冲击以致可能会导致设备无法正常工作。通过使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能将能够有效防止DHCP报文泛洪攻击。 8.1、使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能 [Huawei-vlan3]dhcp snooping check dhcp-rate enable # 接口视图下命令一样
| 
发表于 2019-1-15 16:57
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
厉害
发表于 2019-1-18 16:41
技术专家1级 
