DHCP Snooping是DHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
DHCP Snooping是 DHCP 的一种安全特性,主要应用在 交换机 上,作用是屏蔽接入网络中的非法的 DHCP 服务器。即开启 DHCP Snooping 功能后,网络中的客户端只有从管理员指定的 DHCP 服务器获取 IP 地址。由于 DHCP 报文缺少认证机制,如果网络中存在非法 DHCP 服务器,管理员将无法保证客户端从管理员指定的 DHCP服务器获取合法地址,客户机有可能从非法 DHCP 服务器获得错误的 IP 地址等配置信息,导致客户端无法正常使用网络。启用 DHCP Snooping 功能后,必须将 交换机上的端口设置为信任(Trust)和非信任(Untrust)状态,交换机 只转发信任端口的 DHCP OFFER/ACK/NAK报文,丢弃非信任端口的 DHCP OFFER/ACK/NAK 报文,从而达到阻断非法 DHCP 服务器的目的。建议将连接 DHCP 服务器的端口设置为信任端口,其他端口设置为非信任端口。此外 DHCP Snooping 还会监听经过本机的 DHCP 数据包,提取其中的关键信息并生成 DHCP Binding Table 记录表,一条记录包括 IP、MAC、租约时间、端口、VLAN、类型等信息,结合 DAI(Dynamic ARP Inspection)和 IPSG(IP Source Guard)可实现ARP防欺骗和IP流量控制功能。
方法/步骤- DHCP Snooping的基本原理:开启了DHCP Snooping的设备将用户(DHCP客户端)的DHCP请求报文通过信任接口发送给合法的DHCP服务器。之后设备根据DHCP服务器回应的DHCP ACK报文信息生成DHCP Snooping绑定表。后续设备再从开启了DHCP Snooping的接口接收用户发来的DHCP报文时,会进行匹配检查,能够有效防范非法用户的攻击。简单一句话,就是IP地址只能从我指定的信任接口获取,其它接口发过来的报文我都不信任,不接受,也不分配IP地址。
- 使用场景:DHCP服务器------SW-----PC 这个是正常的典型网络PC通过DHCP获取IP地址,如果这个时候SW下面再挂接一个路由器,或者是其它的DHCP服务器时,PC有可能会获取到别的IP地址具体如下图:
- 开启了DHCP后,如下图,会生成一个绑定表,并且只有指定的端口才可以发送报文进行DHCP的分配 ,其它端口的报文全部丢弃。
- 实验拓扑:
sysname PE1
#
dhcp enable //开启DHCP服务
#
dhcp snooping enable //开启DHCP snooping功能
#
interface GigabitEthernet1/0/1 dhcp snooping enable //在接入层的所有端口开启
#
interface GigabitEthernet1/0/2 dhcp snooping enable //在接入层的所有端口开启
#
interface GigabitEthernet2/0/1 dhcp snooping trusted //在接DHCP服务器或者中继端口开启端口信任,只有这个端口分配过来的IP我才会接受。
#
return
这里只做最主要最重要的相关配置
最新评论