首页 > 其他分享 >DHCP snooping

DHCP snooping

时间:2023-03-27 10:47:26浏览次数:41  
标签:snooping 报文 接口 trunk DHCP Snooping

目前DHCP协议(RFC2131)在应用的过程中遇到很多安全方面的问题,网络中存在一些针对DHCP的攻击,如DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。为了保证网络通信业务的安全性,引入DHCP Snooping技术。在DHCP Client和DHCP Server之间建立一道防火墙,以抵御网络中针对DHCP的各种攻击。

解决方法

为了防止DHCP Server仿冒者攻击,可配置设备接口的“信任(Trusted)/非信任(Untrusted)”工作模式。

将与合法DHCP服务器直接或间接连接的接口设置为信任接口,其他接口设置为非信任接口。此后,从“非信任(Untrusted)”接口上收到的DHCP回应报文将被直接丢弃,这样可以有效防止DHCP Server仿冒者的攻击。如下图所示。

DHCP Snooping是如何工作的?

DHCP Snooping分为DHCPv4 Snooping和DHCPv6 Snooping,两者实现原理相似,以下以DHCPv4 Snooping为例进行描述。使能了DHCP Snooping的设备将用户(DHCP客户端)的DHCP请求报文通过信任接口发送给合法的DHCP服务器。之后设备根据DHCP服务器回应的DHCP ACK报文信息生成DHCP Snooping绑定表。后续设备再从使能了DHCP Snooping的接口接收用户发来的DHCP报文时,会进行匹配检查,能够有效防范非法用户的攻击。

DHCP Snooping绑定表

如下图所示的DHCP场景中,连接在二层接入设备上的PC配置为自动获取IP地址。PC作为DHCP客户端通过广播形式发送DHCP请求报文,使能了DHCP Snooping功能的二层接入设备将其通过信任接口转发给DHCP服务器。最后DHCP服务器将含有IP地址信息的DHCP ACK报文通过单播的方式发送给PC。在这个过程中,二层接入设备收到DHCP ACK报文后,会从该报文中提取关键信息(包括PC的MAC地址以及获取到的IP地址、地址租期),并获取与PC连接的使能了DHCP Snooping功能的接口信息(包括接口编号及该接口所属的VLAN),根据这些信息生成DHCP Snooping绑定表。以PC1为例,图中二层接入设备会从DHCP ACK报文提取到IP地址信息为192.168.1.253,MAC地址信息为MACA。再获取与PC连接的接口信息为if3,根据这些信息生成一条DHCP Snooping绑定表项。

 

 DHCPsnooping 配置步骤

1. 交换机在全局模式激活DHCP snooping特性

2. 指定一个持久的dhcpsnooping绑定数据库位置

3.连接合法DHCP服务器的端口配置为trust

4.指定所为其他的端口(包括静态地址的主机)为非新人端口

5.其他非新忍的端口上配置DHCP限速和端口安全 --可选

6. 在特定vlan开启dhcp snooping

 

 配置

host SW1配置

interface Ethernet0/0    #进入trunk接口
switchport trunk encapsulation dot1q
switchport mode trunk
spanning-tree portfast
interface Ethernet0/2    #连接dhcpserver的接口
switchport access vlan 10
switchport mode access

host SW2配置

interface Ethernet0/0
switchport trunk encapsulation dot1q
switchport mode trunk
spanning-tree portfast

配置DHCP snooping

在交换机上全局开启DHCP snooping
SW1(config)#ip dhcp snooping
SW2(config)#ip dhcp snooping

在特定VLNA中启用DHCP snooping
SW1(config)#ip dhcp snooping vlan 10,20
SW2(config)#ip dhcp snooping vlan 10,20

把连接合法DHCP服务器的端口以及trunk接口配置为Trust
SW1(config)#int rang e0/0-2
SW1(config-if-range)#ip dhcp snooping trust
SW2(config)#int e0/0
SW2(config-if)#ip dhcp snooping trust
#客户端到DHCP服务器方向进入交换机的trunk接口可以不配置为信任接口,但是离开交换机的trunk接口必须配置为trust

 

标签:snooping,报文,接口,trunk,DHCP,Snooping
From: https://www.cnblogs.com/lisenMiller/p/17239581.html

相关文章

  • 使用DHCP配置路由器(网络)
    1.实验拓扑2.路由器里配置命令2.1在第一个路由器里配置ipRouter(config)#intg0/0Router(config-if)#ipadd192.168.1.5255.255.255.0Router(config-if)#noshR......
  • 让天大校园网变成真正的校园网——PPPOE连接后原先DHCP的IP不可用的解决方案
    首先说明我的场景:一台电脑安装windows,一台安装linux。两台电脑都连接校园网,并且插网线,拨号。这样获取了两个IP:一个是校园网DHCP的IP,一个是PPPOE的IP。另外,windows电脑还......
  • 华为核心交换机VRRP与DHCP
    2023.3.20--16.52华为核心交换机VRRP与DHCP 拓扑:原理1、建立VRRP主备份,可以将两台设备虚拟成一台设备;(作用于指定接口)此时,在对应的vrid组里,可以将不同的VRRP设备配......
  • 网络系统管理Linux环境——2.ISPSRV之DHCP
    题目要求服务器IspSrv工作任务1. DHCP为OutsideCli客户端网络分配地址,地址池范围:81.6.63.110-81.6.63.190/24;域名解析服务器:按照实际需求配置DNS服务器地址选项;网关:按照实......
  • Linux网络服务:DHCP
    网络服务-DHCP1.DHCP简介 DHCP(DynamicHostConfigurationProtocol,动态主机配置协议)是一个工作在应用层的局域网网络协议,数据传输时使用UDP不可靠传输协议工作,通常被应......
  • Windows server2012的DHCP ping通测试
    1.首先创建俩个windowsserver2012版本的虚拟机,进行基础配置时,保证每个虚拟机处在同一lan网段 1.进入虚拟机时关闭俩台设备的防火墙    2.右击右下角的网络图标......
  • DHCP服务
     ......
  • DHCP的配置
    1.环境地址池的范围:192.168.61.20-1002.配置虚拟机的IP  3.安装DHCP安装步骤参考DNS服务的安装4.DHCP的配置进入配置界面  新建作用域  点击「下一......
  • 两则dhcp设置引起的故障
    1、dhcp地址池范围设置小,引起两台电脑无法获取ip地址2、dhcpsevere服务器,设置保留地址及对应j电脑mac。保留地址被其它电脑手动设置了占用了ip地址,引起原保留地址的ip老提......
  • DHCP的配置和测试
     1.首先打开VMware,点击“编辑-虚拟网络编辑器”,选择虚拟机将VMnet信息改为“仅主机模式”并将“使用本地DHCP服务将IP地址分配给虚拟机”关掉2.打开虚拟机,在系统与安......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99