×

交换机配置DHCP snooping
  

yzy 9112

{{ttag.title}}
本帖最后由 yzy 于 2019-1-7 16:17 编辑

DHCP Snooping 是什么
DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。(俗称就是只允许指定的DHCP报文通过,其他DHCP 报文拒绝)

使用场景
学校、办公、宾馆等场景,用户私接小路由器,把线路接到小路由器的LAN口,小路由器没有关闭DHCP服务就会导致冲突,导致同一个广播域中有多个DHCP服务器,导致同一个广播域中用户获取到错误的IP地址用户无法正常上网。

网络拓扑图

一、网络中已经私接了小路由器导致DHCP服务器冲突如何找出这个小路由器
1、通过Wireshark 抓包查看DHCP服务器仿冒者的MAC地址
数据包中仿冒者的MAC 4c:1f:cc:7e:67:8e   

2、通过查看交换机的MAC地址表找出这个MAC地址是在那个接口上
首先在接入层设备一路往上查看交换机的MAC地址表
通过命令 display mac-address 4c1f-cc7e-678e   查看发现这个MAC地址是在GE0/0/24口,但是GE0/0/24口是我们的上联接口,那么说明这个MAC地址是在上联设备学习过来的。

3、查看上联设备的MAC地址表发现这个MAC是接在设备GE0/0/20口上

4、可以把这个接口进行down后再看PC是否能获取到正确的IP
[huiju]interface GigabitEthernet 0/0/20       #进入接口视图
[huiju-GigabitEthernet0/0/20]shutdown        #关闭端口
Jan  7 2019 15:39:45-08:00 huiju %%01PHY/1/PHY(l)[2]:    GigabitEthernet0/0/20:
change status to down                 #日志

5、查看PC是否能获取到正确的IP地址,需要把本地连接进行禁用再启用,让PC重新发DHCP广播包获取IP
这时查看发现PC能获取到正确的IP地址

二、DHCP snooping可以配置在汇聚交换机,也可以配置在接入交换机
配置在汇聚交换机如果某个接入交换机有DHCP 仿冒者只会扰乱这个接入层交换机,不会影响到其他接入层设备
如果配置在接入层配置的设备数量会多,但是如果出现DHCP 仿冒者不会影响到任何设备

1、配置DHCP snooping
启用DHCP服务和 DHCP snooping 服务
[huiju]dhcp enable        #启用DHCP服务
[huiju]dhcp snooping enable   #启用DHCP  snooping服务

2、在接口或者VLAN中启用DHCP snooping    接口和VLAN二选一
VLAN配置DHCP snooping
[huiju]vlan 100               #进入VLAN
[huiju-vlan100]dhcp snooping enable   #启用dhcp snooping
[huiju-vlan100]dhcp snooping trusted interface GigabitEthernet 0/0/1   #设置dhcp snooping 信任接口(表示只接受从这个接口发出的DHCP 报文)

接口配置DHCP snooping
[huiju]interface GigabitEthernet 0/0/10                    #进入接口视图
[huiju-GigabitEthernet0/0/10]dhcp snooping enable   #启用dhcp snooping
[huiju]interface GigabitEthernet 0/0/1                     #进入接口视图
[huiju-GigabitEthernet0/0/1]dhcp snooping trusted       #设置dhcp snooping 信任接口(表示只接受从这个接口发出的DHCP 报文)


基本参数配置已经配置完了,如果还有其他联动效果需求可以参考下面讲解

三、DHCP snooping 其他常用参数
1、去使能DHCP Snooping用户位置迁移功能
    在移动应用场景中,若某一用户由接口A上线后,切换到接口B重新上线,用户将发送DHCP Discover报文申请IP地址。
缺省情况下设备使能DHCP Snooping功能之后将允许该用户上线,并刷新DHCP Snooping绑定表。
但是在某些场景中,这样的处理方式存在安全风险,比如网络中存在攻击者仿冒合法用户发送DHCP Discover报文,最终导致DHCP Snooping绑定表被刷新,合法用户网络访问中断。
    此时需要去使能DHCP Snooping用户位置迁移功能,丢弃DHCP Snooping绑定表中已存在的用户(用户MAC信息存在于DHCP Snooping绑定表中)从其他接口发送来的DHCP Discover报文。
[Huawei]undo dhcp snooping user-transfer enable

2、配置ARPDHCP Snooping的联动功能
DHCP Snooping设备在收到DHCP用户发出的DHCP Release报文时将会删除该用户对应的绑定表项,但若用户发生了异常下线而无法发出DHCP Release报文时,DHCP Snooping设备将不能够及时的删除该DHCP用户对应的绑定表。
    使能ARP与DHCP Snooping的联动功能,如果DHCP Snooping表项中的IP地址对应的ARP表项达到老化时间,则DHCP Snooping设备会对该IP地址进行ARP探测,如果在规定的探测次数内探测不到用户,设备将删除用户对应的ARP表项。之后,设备将会再次按规定的探测次数对该IP地址进行ARP探测,如果最后仍不能够探测到用户,则设备将会删除该用户对应的绑定表项。
只有设备作为DHCP Relay时,才支持ARPDHCP Snooping的联动功能
[Huawei]arp dhcp-snooping-detect enable

3、配置用户下线后及时清除对应MAC表项功能
当某一DHCP用户下线时,设备上其对应的动态MAC表项还未达到老化时间,则设备在接收到来自网络侧以该用户IP地址为目的地址的报文时,将继续根据动态MAC表项转发此报文。
    这种无效的报文处理在一定程度上将会降低设备的性能。
    设备在接收到DHCP用户下线时发送DHCP Release报文后,将会立刻删除用户对应的DHCP Snooping绑定表项。利用这种特性,使能当DHCP Snooping动态表项清除时移除对应用户的MAC表项功能,则当用户下线时,设备将会及时的移除用户的MAC表项。
[Huawei]dhcp snooping user-offline remove mac-address

4、使能DHCP Server探测功能
在使能DHCP Snooping功能并配置了接口的信任状态之后,设备将能够保证客户端从合法的服务器获取IP地址,这将能够有效的防止DHCP Server仿冒者攻击。
    但是此时却不能够定位DHCP Server仿冒者的位置,使得网络中仍然存在着安全隐患。
    通过配置DHCP Server探测功能,DHCP Snooping设备将会检查并在日志中记录所有DHCP回应报文中携带的DHCP Server地址与接口等信息,此后网络管理员可根据日志来判定网络中是否存在伪DHCP Server进而对网络进行维护。
[Huawei]dhcp server detect

5、防止DHCP报文泛洪攻击
在DHCP网络环境中,若存在DHCP用户短时间内向设备发送大量的DHCP报文,将会对设备的性能造成巨大的冲击以致可能会导致设备无法正常工作。通过使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能将能够有效防止DHCP报文泛洪攻击。
8.1、使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能
[Huawei-vlan3]dhcp snooping check dhcp-rate enable   # 接口视图下命令一样


打赏鼓励作者,期待更多好文!

打赏
4人已打赏

新手584888 发表于 2019-1-15 18:52
  
厉害
好心情能长寿 发表于 2019-1-15 20:51
  
厉害了,楼主
鬼子姜 发表于 2019-1-18 13:30
  
厉害了,楼主
Sangfor_闪电回_朱丽 发表于 2019-1-18 16:41
  
嗯,涨知识了~~~
陈同学啊 发表于 2019-1-21 15:02
  
如果不配置信任接口    内网还有其他的非法dhcp服务器 还会收到非法dhcp地址吗
文文哒 发表于 2019-1-24 08:54
  
厉害了,学习了
jimes 发表于 2019-2-19 08:26
  
干货,值得学习!!
amwpnpynn 发表于 2019-2-22 21:13
  
这个文档写的太官方了
鬼子姜 发表于 2019-6-5 10:49
  
夺宝计划周三任务点赞一
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
【 社区to talk】
新版本体验
技术笔记
功能体验
技术咨询
产品连连看
GIF动图学习
标准化排查
2023技术争霸赛专题
信服课堂视频
每周精选
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
排障笔记本
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

12
185
6

发帖

粉丝

关注

121
315
352

发帖

粉丝

关注

本版达人

LoveTec...

本周分享达人

新手24116...

本周提问达人