DHCP Snooping原理和配置
DHCP Snooping原理和配置
- 基本原理
- 配置
一、基本原理
DHCP Snooping
功能: 使能该技术可以防止非法用户攻击,使得客户端可以从合法的服务器获取IP。
过程:使能了DHCP Snooping的设备将用户(DHCP客户端)的DHCP请求报文通过信任接口发送给合法的DHCP服务器。之后设备根据DHCP服务器回应的DHCP ACK报文信息生成DHCP Snooping绑定表。后续设备再从使能了DHCP Snooping的接口接收用户发来的DHCP报文时,会进行匹配检查,能够有效防范非法用户的攻击。
作用: 在网络中使用DHCP Snooping技术可以控制DHCP服务器应答报文的来源,以防止网络中可能存在的DHCP Server仿冒者为DHCP客户端分配IP地址及其他配置信息。
DHCP Snooping信任功能将接口分为信任接口和非信任接口:
信任接口(trust)正常接收DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文。
非信任接口(untrust)在接收到DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文后,丢弃该报文。
DHCP Snooping绑定表
使能DHCP Snooping功能的二层接入设备收到DHCP服务器发送的ACK消息的时候,会提取其中的关键字段形成绑定表,包括IP地址、MAC地址、以及客户端和二层接入设备的接口信息(接口编号和VLAN所属)。
DHCP Snooping绑定表根据DHCP租期进行老化或根据用户释放IP地址时发出的DHCP Release报文自动删除对应表项。
由于DHCP Snooping绑定表记录了DHCP客户端IP地址与MAC地址等参数的对应关系,故通过对报文与DHCP Snooping绑定表进行匹配检查,能够有效防范非法用户的攻击。
为了保证设备在生成DHCP Snooping绑定表时能够获取到用户MAC等参数,DHCP Snooping功能需应用于二层网络中的接入设备或第一个DHCP Relay上。
在DHCP中继使能DHCP Snooping场景中,DHCP Relay设备不需要设置信任接口。因为DHCP Relay收到DHCP请求报文后进行源目的IP、MAC转换处理,然后以单播形式发送给指定的合法DHCP服务器,所以DHCP Relay收到的DHCP ACK报文都是合法的,生成的DHCP Snooping绑定表也是正确的。
DHCP Snooping应用场景
1、防止DHCP Server仿冒者攻击导致用户获取到错误的IP地址和网络参数
2、防止非DHCP用户攻击导致合法用户无法正常使用网络
3、防止DHCP报文泛洪攻击导致设备无法正常工作
4、防止仿冒DHCP报文攻击导致合法用户无法获得IP地址或异常下线
5、防止DHCP Server服务拒绝攻击导致部分用户无法上线
二、配置
特点:
1、DHCP Snooping功能是交换机的基本特性,无需获得License许可即可应用此功能。
2、如果需要上线的用户数目超过了设备支持的DHCP Snooping绑定表规格,超出的用户将无法上线。
3、DHCP Snooping功能不支持在接口的三层模式下配置。
4、VXLAN场景下,不支持DHCPv6 Snooping功能。
5、VRRP场景下,备设备不能同步主设备上的DHCP Snooping绑定表。故VRRP场景下不能配置DHCP Snooping功能,否则会导致主备倒换后原有业务失效.
6、DHCP Snooping最多支持处理带有双层VLAN Tag的DHCP报文。对于带有更多层VLAN Tag的报文建议不要配置DHCP Snooping功能,否则会导致丢包,影响用户的使用体验。
7、如果设备使能了DHCP Snooping功能,不能配置2 to 2的VLAN Mapping功能,否则会导致DHCP用户无法上线。
1、执行命令dhcp snooping enable [ ipv4 | ipv6 ],全局使能DHCP Snooping功能。缺省情况下,设备全局未使能DHCP Snooping功能。也可在VLAN接口下使能dhcp snooping2、使能后,配置信任接口,这样才能 生成DHCP Snooping绑定表。进入接口模式下: dhcp snooping trusted 默认接口是untrust或者直接使用 dhcp snooping trusted interface g0/0/1.VLAN视图下:执行命令vlan vlan-id,进入VLAN视图。执行命令dhcp snooping trusted interface interface-type interface-number ,配置接口为“信任”接口。缺省情况下,接口的状态为“非信任”状态。在VLAN视图下执行此命令,则命令功能仅对加入该VLAN的接口收到的属于此VLAN的DHCP报文生效;在接口下执行该 命令,则命令功能对该接口接收到的所有DHCP报文生效。3、查看配置信息。display dhcp snooping configuration [ vlan vlan-id | interface interface-type interface-number查看DHCP Snooping绑定表相关信息。执行命令display dhcp snooping user-bind 来源地址:https://blog.csdn.net/qq_50929489/article/details/126982548
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
