DHCP-Snooping配置防止外接DHCP

1.S3700 DHCP Snooping 配置1.1配置防止DHCP Server 仿冒者的攻击防止DHCP Server 仿冒者攻击的基本配置过程，包括配置信任接口、配置DHCPReply 报文丢弃告警功能。

#dhcp enabledhcp snooping enabledhcp server detect#interface GigabitEthernet0/0/1dhcp snooping enabledhcp snooping trusted#interface GigabitEthernet0/0/2dhcp snooping enabledhcp snooping alarm untrust-reply enabledhcp snooping alarm untrust-reply threshold 120在端口下配置dhcp snooping 后默认成为untrusted端口1.2配置防止改变CHADDR 值的DoS 攻击示例如果攻击者改变的不是数据帧头部的源MAC，而是通过改变DHCP 报文中的CHADDR （Client Hardware Address）值来不断申请IP 地址，而S3700 仅根据数据帧头部的源MAC 来判断该报文是否合法，那么MAC 地址限制不能完全起作用，这样的攻击报文还是可以被正常转发。

为了避免受到攻击者改变CHADDR 值的攻击，可以在S3700 上配置DHCP Snooping 功能，检查DHCP Request 报文中CHADDR 字段。

如果该字段跟数据帧头部的源MAC 相匹配，转发报文；否则，丢弃报文Switch 应用在用户网络和ISP 的二层网络之间，为防止攻击者通过改变CHADDR 值进行DoS 攻击，要求在Switch 上应用DHCP Snooping 功能。

检查DHCPRequest 报文中CHADDR 字段，如果该字段跟数据帧头部的源MAC 相匹配，便转发报文；否则丢弃报文。

配置网络设备的端口安全机制防止非法设备连接网络设备的端口安全机制是网络安全的重要组成部分，它能够有效地防止非法设备连接网络，确保网络的安全性和稳定性。

本文将就如何配置网络设备的端口安全机制进行阐述，以提供一些参考和指导。

一、端口安全机制的基础概念1. MAC地址过滤MAC地址是网络设备的唯一标识符，通过设置网络设备的ACL （Access Control List）表，可以设定只允许特定的MAC地址通过，其他非法设备将无法连接到网络。

配置ACL表的方法是在网络设备的配置界面中，设置允许的MAC地址列表，并配置相应的动作，如允许或禁止连接。

2. DHCP SnoopingDHCP Snooping是一种防止非法DHCP服务器攻击的机制，通过记录网络中合法DHCP服务器的MAC地址和绑定IP地址的关系，对非法DHCP服务器的请求进行过滤，确保只有合法的DHCP服务器能够分配IP地址。

配置DHCP Snooping需要在网络设备上启用该功能，并对合法DHCP服务器进行授权。

3. IP Source GuardIP Source Guard是一种用于保护网络环境中的IP地址不被非法源地址冒充的机制。

通过将端口与MAC地址和IP地址进行绑定，只允许指定的MAC地址和IP地址从特定端口发送和接收数据包。

配置IP Source Guard需要在网络设备上启用该功能，并进行相应的绑定和限制。

二、端口安全机制的配置步骤1. 登录网络设备管理界面首先，通过SSH、Telnet或串口等方式登录网络设备的管理界面，输入正确的用户名和密码进行认证。

2. 进入端口安全配置界面在管理界面中，根据设备型号和软件版本的不同，找到相应的端口安全配置入口，如"Security"、"Port Security"等。

进入该界面后，可以看到各个接口的配置信息和选项。

3. 配置MAC地址过滤选择需要配置的接口，并启用MAC地址过滤功能。

爆肝了，一口气搞懂什么是DHCPSnoopingDHCP Snooping是DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）的一种安全特性，用于保证DHCP客户端从合法的DHCP服务器获取IP地址，并记录DHCP客户端IP地址与MAC地址等参数的对应关系。

DHCP Snooping可以抵御网络中针对DHCP的各种攻击，为用户提供更安全的网络环境和更稳定的网络服务。

目录•为什么需要DHCP Snooping？•DHCP Snooping应用场景有哪些？•DHCP Snooping是如何工作的？为什么需要DHCP Snooping？目前DHCP协议（RFC2131）在应用的过程中遇到很多安全方面的问题，网络中存在一些针对DHCP的攻击，如DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。

为了保证网络通信业务的安全性，引入DHCP Snooping技术。

在DHCP Client和DHCP Server之间建立一道防火墙，以抵御网络中针对DHCP的各种攻击。

DHCP Snooping应用场景有哪些？防止DHCP Server仿冒者攻击导致用户获取到错误的IP地址和网络参数攻击原理由于DHCP Server和DHCP Client之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。

如果该DHCP服务器为用户分配错误的IP地址和其他网络参数，将会对网络造成非常大的危害。

如下图所示，DHCP Discover报文是以广播形式发送，无论是合法的DHCP Server，还是非法的DHCP Server都可以接收到DHCP Client发送的DHCP Discover报文。

DHCP Client发送DHCP Discover报文示意图DHCP Client发送DHCP Discover报文示意图如果此时DHCP Server仿冒者回应给DHCP Client仿冒信息，如错误的网关地址、错误的DNS（Domain Name System）服务器、错误的IP等信息，如图2所示。

一、机制概述DHCP都非常熟悉了，对于DHCP客户端而言，初始过程中都是通过发送广播的DHCP discovery消息寻找DHCP服务器，然而这时候如果内网中存在私设的DHCP服务器，那么就会对网络造成影响，例如客户端通过私设的DHCP 服务器拿到一个非法的地址，最终导致PC无法上网。

在DHCP snooping环境中（部署在交换机上），我们将端口视为trust或untrust两种安全级别，也就是信任或非信任接口。

在交换机上，将连接合法DHCP 服务器的接口配置为trust。

只有trust接口上收到的来自DHCPserver的报文（如DHCPOFFER, DHCPACK, DHCPNAK, 或者DHCPLEASEQUERY）才会被放行，相反，在untrust接口上收到的来自DHCPserver的报文将被过滤掉，这样一来就可以防止非法的DHCPserver接入。

同时在部署了DHCP Snooping了交换机本地，还能维护一张DHCPsnooping的绑定数据库（binding database），用于保存侦听到的DHCP交互的表项，信息包括（针对untrust接口的）：MAC地址、IP地址（DHCP 分配的）、租期、绑定类型、VLAN号、接口编号（DHCP客户端也就是连接客户端PC的untrust接口）。

这个DHCP snooping banding databse除了可以做一些基本的安全接入控制，还能够用于DAI等防ARP欺骗的解决方案。

一台支持DHCP snooping的交换机，如果在其untrust接口上，收到来自下游交换机发送的、且带有option82的DHCP报文，则默认的动作是丢弃这些报文。

如果该交换机开启了DHCP snooping并且带有option82的DHCP报文是在trusted接口上收到的，则交换机接收这些报文，但是不会根据报文中包含的相关信息建立DHCP bingdingdatabse表项。

H3C S3100v2 防止客户端私设DHCP服务影响服务交换机千兆端口1/0/25连接上级核心交换机，以其中一个端口1/0/1配置。

<S3100V2>display dhcp-snoopingDHCP Snooping is disabled.<S3100V2>system-view[S3100V2]dhcp-snooping #缺省情况下，DHCP Snooping功能处于关闭状态DHCP Snooping is enabled.[S3100V2]display dhcp-snoopingDHCP Snooping is enabled.The client binding table for all ports.Type : D--Dynamic , S--Static , R--RecoveringType IP Address MAC Address Lease VLAN SVLAN Interface==== =============== ============== ============ ==== ===== =================--- 0 dhcp-snooping item(s) found ---[S3100V2]interface GigabitEthernet 1/0/25 #此接口为连接DHCP服务器的接口[S3100V2-GigabitEthernet1/0/25]dhcp-snooping trust #在使能DHCP Snooping功能后，设备的所有端口均为不信任端口[S3100V2-GigabitEthernet1/0/25]quit<S3100V2>display dhcp-snooping trustDHCP Snooping is enabled.DHCP Snooping trust becomes active.Interface Trusted========================= ============GigabitEthernet1/0/25 Trusted# 显示DHCP Snooping设备上的DHCP报文统计信息。

华为交换机DHCP snooping配置教程DHCP Snooping是一种DHCP安全特性，在配置DHCP Snooping各安全功能之前需首先使能DHCP Snooping功能。

使能DHCP Snooping功能的顺序是先使能全局下的DHCP Snooping功能，再使能接口或VLAN下的DHCP Snooping功能。

图1 配置DHCP Snooping基本功能组网图如上图1所示，Switch_1是二层接入设备，将用户PC的DHCP请求转发给DHCP服务器。

以Switch_1为例，在使能DHCP Snooping功能时需要注意：使能DHCP Snooping功能之前，必须已使用命令dhcp enable使能了设备的DHCP功能。

全局使能DHCP Snooping功能后，还需要在连接用户的接口（如图中的接口if1、if2和if3）或其所属VLAN（如图中的VLAN 10）使能DHCP Snooping 功能。

当存在多个用户PC属于同一个VLAN时，为了简化配置，可以在这个VLAN 使能DHCP Snooping功能。

请在二层网络中的接入设备或第一个DHCP Relay上执行以下步骤。

1、使能DHCP Snooping功能[Huawei]dhcp snooping enable ?ipv4 DHCPv4 Snoopingipv6 DHCPv6 Snoopingvlan Virtual LAN<cr>或[Huawei]dhcp snooping over-vpls enable # 使能设备在VPLS网络中的DHCP Snooping功能或[Huawei-vlan2]dhcp snooping enable[Huawei-GigabitEthernet0/0/3]dhcp snooping enable2、配置接口信任状态[Huawei-GigabitEthernet0/0/2]dhcp snooping trusted或[Huawei-vlan3]dhcp snooping trusted interface GigabitEthernet 0/0/63、去使能DHCP Snooping用户位置迁移功能在移动应用场景中，若某一用户由接口A上线后，切换到接口B重新上线，用户将发送DHCP Discover报文申请IP地址。

DHCP Snooping功能与实例详解一、采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数，简化了网络配置，提高了管理效率。

但在DHCP 服务的管理上存在一些问题，常见的有：●DHCP Server的冒充●DHCP Server的DOS攻击，如DHCP耗竭攻击●某些用户随便指定IP地址，造成IP地址冲突1、DHCP Server的冒充由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。

只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。

2、DHCP Server的拒绝服务攻击通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR （也就是Client MAC address）字段来判断客户端的MAC地址。

正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。

攻击者可以利用伪造MAC的方式发送DHCP请求，但这种攻击可以使用Cisco 交换机的端口安全特性来防止。

端口安全特性（Port Security）可以限制每个端口只使用唯一的MAC地址。

但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改DHCP报文中的CHADDR字段来实施攻击，那端口安全就不起作用了。

由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造CHADDR的DHCP请求，导致DHCP服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种DHCP耗竭攻击。

DHCP耗竭攻击可以是纯粹的DOS攻击，也可以与伪造的DHCP服务器配合使用。

当正常的DHCP服务器瘫痪时，攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址，使它们将信息转发给准备截取的恶意计算机。

第12章DHCP-SNOOPING配置本章主要介绍DHCP Snooping功能的使用和配置方法。

本章主要内容：●DHCP Snooping功能简介●DHCP Snooping基本指令描述●DHCP Snooping配置示例●DHCP Snooping监控和调试12.1DHCP Snooping功能简介DHCP Snooping是DHCP的一种安全特性，具有如下功能：一）记录DHCP客户端IP地址与MAC地址的对应关系出于安全性的考虑，网络管理员可能需要记录用户上网时所用的IP地址，确认用户从DHCP服务器获取的IP地址和用户主机MAC地址的对应关系。

DHCP Snooping通过监听DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文，记录DHCP 客户端的MAC地址以及获取到的IP地址。

管理员可以通show dhcp-snooping database命令查看DHCP 客户端获取的IP地址信息。

二）保证客户端从合法的服务器获取IP地址在网络中如果有私自架设的DHCP服务器，则可能导致用户得到错误的IP地址。

为了使用户能通过合法的DHCP服务器获取IP地址，DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口：⏹信任端口是与合法的DHCP服务器直接或间接连接的端口。

信任端口对接收到的DHCP报文正常转发，从而保证了DHCP客户端获取正确的IP地址。

⏹不信任端口是不与合法的DHCP服务器连接的端口。

如果从不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文则会丢弃，从而防止了DHCP客户端获得错误的IP地址。

DHCP Snooping 功能在网络中的典型应用如下图的Switch A 所示。

Switch A (DHCP Snooping)Switch B (DHCP Relay)DHCP ServerDHCP ClientDHCP Client图12-1 DHCP 组网图DHCP Client 与DHCP Server 之间的报文交互过程如下图所示。