文章目錄
一 :DHCP功能概述
DHCP(Dynamic Host Configuration Protocol,動態主機配置協議)通常被應用在大型的局域網絡環境中,主要作用是集中的管理、分配IP地址,使網絡環境中的主機動態的獲得IP地址、Gateway地址、DNS服務器地址等信息,並能夠提升地址的使用率。 [2]
DHCP協議採用客戶端/服務器模型,主機地址的動態分配任務由網絡主機驅動。當DHCP服務器接收到來自網絡主機申請地址的信息時,纔會向網絡主機發送相關的地址配置等信息,以實現網絡主機地址信息的動態配置。DHCP具有以下功能: [2]
- 保證任何IP地址在同一時刻只能由一臺DHCP客戶機所使用。 [2]
- DHCP應當可以給用戶分配永久固定的IP地址。 [2]
- DHCP應當可以同用其他方法獲得IP地址的主機共存(如手工配置IP地址的主機)。 [2]
- DHCP服務器應當向現有的BOOTP客戶端提供服務。 [2]
DHCP有三種機制分配IP地址: [2]
- 自動分配方式(Automatic Allocation),DHCP服務器爲主機指定一個永久性的IP地址,一旦DHCP客戶端第一次成功從DHCP服務器端租用到IP地址後,就可以永久性的使用該地址。 [2]
相關圖片
相關圖片 - 動態分配方式(Dynamic Allocation),DHCP服務器給主機指定一個具有時間限制的IP地址,時間到期或主機明確表示放棄該地址時,該地址可以被其他主機使用。 [2]
- 手工分配方式(Manual Allocation),客戶端的IP地址是由網絡管理員指定的,DHCP服務器只是將指定的IP地址告訴客戶端主機。 [2]
三種地址分配方式中,只有動態分配可以重複使用客戶端不再需要的地址。 [2]
DHCP消息的格式是基於BOOTP(Bootstrap Protocol)消息格式的,這就要求設備具有BOOTP中繼代理的功能,並能夠與BOOTP客戶端和DHCP服務器實現交互。BOOTP中繼代理的功能,使得沒有必要在每個物理網絡都部署一個DHCP服務器。RFC 951和RFC 1542對BOOTP協議進行了詳細描述。 [2]
二、DHCP產生背景
1、手工配置網絡參數存在的問題
傳統的手工配置網絡參數需要每個用戶都手動配置IP地址、掩碼、網關、DNS等多個參數
這樣就會存在一-些問題 :
人員素質要求高
主機的使用者需要懂得如何進行網絡參數的配置操作方法,這在實際中是難以做到的。
容易出錯
手工配置過程中非常容易出現人爲的誤操作情況。
靈活性差
網絡參數發生改變時,需要重新進行配置操作。例如,如果某主機在網絡中的位置發
生了變化,則該主機的網關地址也可能會發生變化,這時就需要重新配置該主機的網
關地址。
IP地址資源利用率低
IP地址無法得到重複利用。
工作量大
配置工作量會隨着主機數量的增加而增大。
2、DHCP概念的提出
隨着用戶規模的擴大及用戶位置的不固定性,傳統的靜態手工配置方式已經無法滿足需求,爲了實現網絡可以動態合理地分配IP地址給主機使用,需要用到動態主機配置協議DHCP。
DHCP相對於靜態手工配置有如下優點:
效率高
靈活性強
易於管理
三、DHCP基本原理 與配置實現
1、DHCP基本工作過程
DHCP採用了Client/Server模型;DHCP Client需要從DHCP Server那裏獲得各種網絡配
置參數,這個過程是通過DHCP Client與DHCP Server之間交互各種DHCP消息來實現的。
DHCP消息是封裝在UDP報文中的,DHCP Server使用端口號67來接收DHCP消息,
DHCP Client使用端口號68來接收DHCP消息。本課程中,我們主要關心DHCP Client是如
何獲得自己的IP地址的。
如圖所展示的是DHCP Client通過DHCP來申請獲取自己的IP地址的基本過程,這一過程包
含了四個階段:
發現階段:
發現階段也就是PC上的DHCP Client尋找DHCP Server的階段。PC上的DHCP
Client開始運行後,會以廣播的方式發送一個DHCP Discover消息。
需要說明的是,圖中所示的二層廣播域中除了路由器R上運行了DHCP Server
外,可能還有其它設備也運行了DHCP Server。如果是這樣,那麼所有這些
DHCP Server都會接收到PC發送的DHCP Discover消息,也都會對所收到的
DHCP Discover消息做出迴應。
提供階段
提供階段也就是DHCP Server向DHCP Client提供IP地址的階段,每一個接收
到DHCP Discover消息的DHCP Server(包括路由器R上運行的DHCP Server)
都會從自己維護的地址池中選擇一個合適的IP地址,並通過DHCP Offer消息將
這個IP地址發送給DHCP Client。DHCP Server是以單播的方式來發送DHCP
Offer消息的
請求階段
在請求階段中,PC上的DHCP Client會在若干個收到的Offer(即若干個收到的DHCP
Offer消息)中根據某種原則來確定出自己將要接受哪一個Offer。通常情況下,DHCP
Client會接受它所收到的第一個Offer(即最先收到的那個DHCP Offer消息)。圖中,假
設PC最先收到的DHCP Offer消息是來自路由器R。於是,PC上的DHCP Client會以廣播方
式發送一個DHCP Request消息,其意圖就是向路由器R上的DHCP Server提出請求,希望
獲取到該DHCP Server發送給自己的DHCP Offer消息中所提供的那個IP地址。注意,這個
DHCP Request消息中攜帶有R上的DHCP Server的標識(稱爲Server Identifier),表示
PC上的DHCP Client只願意接受R上的DHCP Server所給出的Offer。 顯然,該二層廣播域中所有的DHCP Server都會接收到PC上的DHCP Client發送的DHCP
Request消息。R上的DHCP Server收到並分析了該DHCP Request消息後,會明白PC已
經願意接受自己的Offer了。其他的DHCP Server收到並分析了該DHCP Request消息後,
會明白PC拒絕了自己的Offer。於是,這些DHCP Server就會收回自己當初給予PC的Offer。
也就是說,當初準備提供給PC使用的IP地址現在可以用來分配給別的設備使用了。
確認階段
在確認階段,R上的DHCP Server會向PC上的DHCP Client發送一個DHCP Ack消息。注
意,由於種種原因,R上的DHCP Server也可能會向PC上的DHCP Client發送一個DHCP
Nak消息。如果PC接收到了DHCP Nak消息,就說明這次獲取IP地址的嘗試失敗了。在這
種情況下,PC只能重新回到發現階段來開始新一輪的IP地址申請過程。
DHCP基本工作過程(2)
DHCP Server每次給DHCP Client分配一個IP地址時,只是跟DHCP Client定立了一個關於
這個IP地址的租約(Lease)。每個租約都有一個租約期(Duration of Lease),DHCP
協議規定租約期的缺省值不得小於1個小時,而實際部署DHCP時,租約期的缺省值通常都
是24小時。在租約期內,DHCP Client才能使用相應的IP地址。當租約期到期之後,DHCP
Client是不被允許繼續使用這個IP地址的。在租約期還沒有到期的時候,DHCP Client可以
申請續租這個IP地址,其過程如圖所示。
DHCP協議規定,在缺省情況下,圖中的T1時刻是租約期到了一半的時刻,而T2時刻則是
租約期到了87.5%的時刻。在T1時刻,PC上的DHCP Client會以單播方式向R上的DHCP
Server發送一個DHCP Request消息,請求續租IP地址(也就是請求重新開始租約期的計
時)。如果在T2時刻之前, PC上的DHCP Client收到了迴應的DHCP Ack消息,則說明續
租已經成功。如果直到T2時刻,PC上的DHCP Client都未收到迴應的DHCP Ack消息,那
麼在T2時刻,PC上的DHCP Client會以廣播方式發送一個DHCP Request消息,繼續請求
續租IP地址。如果在租約期到期之前,PC上的DHCP Client收到了迴應的DHCP Ack消息,
則說明續租成功。如果直到租約期到期時,PC上的DHCP Client仍未收到迴應的DHCP
Ack消息,那麼PC就必須停止使用原來的IP地址,也就是說,PC只能重新從發現階段開始
來重新申請一個IP地址。
四: DHCP中繼互聯實驗詳解
1.實驗目的:將R1設爲DHCP服務,R2和R3進行DHCP中繼轉發,然後實現全網互聯
2.實驗環境
3.實驗步驟,參數配置
將SW1劃分2個VLAN,並配置4個ACCESE口和一個trunk口。將R2和R3配置DHCP中繼服務,並配置好路由表,配置R1的DHCP服務,具體如下面所示
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sys R1
[R1]INT G 0/0/0
[R1-GigabitEthernet0/0/0]IP address 14.0.0.2 24 /配置物理端口IP
[R1-GigabitEthernet0/0/0]Q
[R1]DHCP enable
Info: The operation may take a few seconds. Please wait for a moment.done.
[R1]ip pool dhcp15 /進入DHCP 15
Info:It's successful to create an IP address pool.
[R1-ip-pool-dhcp15]network 15.0.0.0 mask 24 /設置網段 掩碼
[R1-ip-pool-dhcp15]gateway-list 15.0.0.1 /設置網關
[R1-ip-pool-dhcp15]dns-list 8.8.8.8 2.2.2.2 /設置DNS
[R1-ip-pool-dhcp15]excluded-ip-address 15.0.0.100 15.0.0.254 排除此區間地址
[R1-ip-pool-dhcp15]static-bind ip-address 15.0.0.88 mac-address 5489-98A5-68C0 /給此MAC 分配固定IP
[R1-ip-pool-dhcp15]ip pool dhcpvlan10
[R1-ip-pool-dhcpvlan10]network 192.168.10.0 mask 24
[R1-ip-pool-dhcpvlan10]gateway-list 8.8.8.8 2.2.2.2
Error:The network section should be within the subnet of the pool.
[R1-ip-pool-dhcpvlan10]un sh
[R1-ip-pool-dhcpvlan10]q
[R1]ip pool DHCPVLAN20
Info:It's successful to create an IP address pool.
[R1-ip-pool-DHCPVLAN20]
[R1-ip-pool-DHCPVLAN20]network 192.168.20.0 MASK 24
[R1-ip-pool-DHCPVLAN20]gateway-list 192.168.20.1
[R1-ip-pool-DHCPVLAN20]dns-list
[R1-ip-pool-DHCPVLAN20]dns-list 8.8.8.8 2.2.2.2
[R1-ip-pool-DHCPVLAN20]INT G0/0/0
[R1-GigabitEthernet0/0/0]DHCP
[R1-GigabitEthernet0/0/0]dhcp select global是選擇全局的地址池給DHCP客戶端使用
[R1-GigabitEthernet0/0/0]UN SH
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[R1-GigabitEthernet0/0/0]Q
[R1]IP route-static 0.0.0.0 0.0.0.0 14.0.0.1
<Huawei>sys
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sys r2
[r2]
[r2]dhcp enable
Info: The operation may take a few seconds. Please wait for a moment.done.
[r2]int g 0/0/2
[r2-GigabitEthernet0/0/2]ip add 14.0.0.1 24
[r2-GigabitEthernet0/0/1]int g 0/0/1.10
[r2-GigabitEthernet0/0/1.10]
[r2-GigabitEthernet0/0/1.10]dot1q termination v 10
[r2-GigabitEthernet0/0/1.10]
[r2-GigabitEthernet0/0/1.10]a b e
[r2-GigabitEthernet0/0/1.10]ip add 192.168.10.1 24
[r2-GigabitEthernet0/0/1.10]dhcp select interface
[r2-GigabitEthernet0/0/1.10]dhcp select relay
[r2-GigabitEthernet0/0/1.10]dhcp relay server-ip 14.0.0.2
[r2-GigabitEthernet0/0/1.10]un sh
Info: Interface GigabitEthernet0/0/1.10 is not shutdown.
[r2-GigabitEthernet0/0/1.10]
[r2-GigabitEthernet0/0/1.10]int g 0/0/1.20
[r2-GigabitEthernet0/0/1.20]dot1q termination v 20
[r2-GigabitEthernet0/0/1.20]ip add 192.168.20.1 24
[r2-GigabitEthernet0/0/1.20]a b e
[r2-GigabitEthernet0/0/1.20]dhcp select relay **開啓中繼服務**
[r2-GigabitEthernet0/0/1.20]dhcp relay server-ip 14.0.0.2 **中繼服務地址**
[r2-GigabitEthernet0/0/1.20]un sh
Info: Interface GigabitEthernet0/0/1.20 is not shutdown.
[r2-GigabitEthernet0/0/1.20]
[r2-GigabitEthernet0/0/1.20]q
[r2]int g 0/0/0
[r2-GigabitEthernet0/0/0]ip add 12.0.0.1 24
[r2]IP route-static 0.0.0.0 0.0.0.0 12.0.0.2
[r3]dhcp enable
Info: The operation may take a few seconds. Please wait for a moment.done.
[r3]int GigabitEthernet0/0/0 12.0.0.2 24
[r3-GigabitEthernet0/0/0]ip add 12.0.0.2 24
[r3-GigabitEthernet0/0/0]un sh
[r3-GigabitEthernet0/0/0]int g 0/0/1
[r3-GigabitEthernet0/0/1]dhcp select relay
[r3-GigabitEthernet0/0/1]dhcp relay server-ip 14.0.0.2
[r3-GigabitEthernet0/0/1]un sh
[r3]IP route-static 192.168.10.1 24 12.0.0.1
[r3]IP route-static 192.168.20.1 24 12.0.0.1
[r3]IP route-static 192.168.20.1 24 12.0.0.1
[r3]IP route-static 14.0.0.2 24 12.0.0.1
[r3-GigabitEthernet0/0/1]ip add 15.0.0.1 24
[Huawei]sys sw1
[sw1]v b 10 20
[sw1]int e0/0/1
[sw1-Ethernet0/0/1]p l a
[sw1-Ethernet0/0/1]p d v
[sw1-Ethernet0/0/1]p d v 10
[sw1-Ethernet0/0/1]int e 0/0/2
[sw1-Ethernet0/0/2]p l a
[sw1-Ethernet0/0/2]p d v 20
[sw1-Ethernet0/0/2]un sh
[sw1-Ethernet0/0/2]in
[sw1-Ethernet0/0/2]int e 0/0/3
[sw1-Ethernet0/0/3]p l a
[sw1-Ethernet0/0/3]p d v 10
[sw1-Ethernet0/0/3]un sh
[sw1-Ethernet0/0/3]int e 0/0/4
[sw1-Ethernet0/0/4]p l a
[sw1-Ethernet0/0/4]p d v 20
[sw1-Ethernet0/0/4]un sh
[sw1-Ethernet0/0/4]int g 0/0/1
[sw1-GigabitEthernet0/0/1]p l t
[sw1-GigabitEthernet0/0/1]p t a v
[sw1-GigabitEthernet0/0/1]p t a v 10 20
4.實驗總結
如上圖所示,已經實現了全網互通。
五、DHCP面臨的安全威脅與防護機制
1、DHCP面臨的安全威脅
網絡攻擊行爲無處不在,針對DHCP的攻擊行爲也不例外。例如,某公司突然出現了大面積用戶無法上網的情況,經檢查用戶終端均未獲取到IP地址,且DHCP
DHCP在設計上未充分考慮到安全因素,從而留下了許多安全漏洞,使得DHCP很容易受到攻擊。實際網絡中,針對DHCP的攻擊行爲主要有以下三種:
DHCP餓死攻擊
仿冒DHCP Server攻擊
DHCP中間人攻擊
2、DHCP餓死攻擊
●攻擊原理:攻擊者持續大量地向DHCP Server申請IP地址,直到耗盡DHCP Server
地址池中的IP地址,導致DHCP Server不能給正常的用戶進行分配。
●漏洞分析: DHCP Server向申請者分配IP地址時,無法區分正常的申請者與惡意的申請者。
DHCP餓死攻擊:
是攻擊者通過持續大量地向DHCP Server申請IP地址來實現的,其目的是
耗盡DHCP Server地址池中的IP地址,導致DHCP Server沒有IP地址分配給正常的用戶。
DHCP消息中有一個名叫CHADDR(Client Hardware Address)的字段,該字段是由
DHCP客戶端填寫的,表示的是客戶端的硬件地址(也就是客戶端的MAC地址)。DHCP
Server是針對CHADDR來分配IP地址的,對於不同的CHADDR,DHCP Server會分配不同
的IP地址;DHCP Server無法區分什麼樣的CHADDR是合法的,什麼樣的CHADDR是非法
的。利用這個漏洞,攻擊者每申請一個IP地址時,就在DHCP消息的CHADDR字段中填寫
一個不同的值,以此來冒充是不同的用戶在申請IP地址。
3、仿冒DHCP Server攻擊
攻擊原理:攻擊者仿冒DHCP Server ,向客戶端分配錯誤的IP地址及提供錯誤的網關地址等參數,導致客戶端無法正常訪問網絡。
漏洞分析: DHCP客戶端接收到來自DHCP Server的DHCP消息後,無法區分這些DHCP消息是來自仿冒的DHCP Server ,還是來自合法的DHCP Server.
攻擊者私自安裝並運行DHCP Server程序後,便可以把自己裝扮成一個合法的DHCP
Server,這就是所謂的仿冒DHCP Server。仿冒DHCP Server與合法的DHCP Server在工
作原理上是完全一樣的,所不同的是,仿冒DHCP Server會向客戶端分配錯誤的IP地址及
提供錯誤的網關地址等參數,導致客戶端無法正常訪問網絡。
我們知道,客戶端以廣播方式發送DHCP Discover消息後,仿冒DHCP Server和合法的
DHCP Server都能夠收到該DHCP Discover消息,並且都會迴應DHCP Offer消息。如果
客戶端最先收到的DHCP Offer消息是來自仿冒DHCP Server,那麼客戶端就會繼續向仿冒
DHCP Server(而不是合法的DHCP Server)請求獲得IP地址等參數,而仿冒DHCP
Server就會乘機向客戶端分配錯誤的IP地址及提供錯誤的網關地址等參數。
4、DHCP中間人攻擊
●攻擊原理:攻擊者利用ARP機制,讓PC-A學習到IP-S與MAC- B的映射關係,又讓Server學習到IP-A與MAC-B的映射關係。如此一來, PC-A與Server之間交互的IP報文都會經過攻擊者中轉。
●漏洞分析:從本質上講,中間人攻擊是-種Spoofing IP/MAC攻擊,中間人利用了虛假的IP地址與MAC地址之間的映射關係來同時欺騙DHCP的客戶端和服務器。
如圖所示,攻擊者利用ARP機制,讓PC-A學習到IP-S與MAC-B的映射關係,又讓Server學
習到IP-A與MAC-B的映射關係。當PC-A向DHCP Server發送IP報文時,目的IP地址爲IP-S, 源IP地址爲IP-A,而封裝這個IP報文的幀的目的MAC地址爲MAC-B,源MAC地址爲MAC- A,所以這個幀會首先到達攻擊者PC-B。攻擊者收到這個幀後,將這個幀的目的MAC地址
更換爲MAC-S,源MAC地址更換爲MAC-B,然後將這個幀發往Server。如此“偷梁換
柱”,Server是看不出任何破綻的。另一方面,當DHCP Server向PC-A發送IP報文時,目
的IP地址爲IP-A,源IP地址爲IP-S,而封裝這個IP報文的幀的目的MAC地址爲MAC-B,源
MAC地址爲MAC-S,所以這個幀也會首先到達攻擊者PC-B。攻擊者收到這個幀後,將這
個幀的目的MAC地址更換爲MAC-A,源MAC地址更換爲MAC-B,然後將這個幀發往PC- A。同樣,PC-A也是看不出任何破綻的。
由於往來於PC-A與DHCP Server之間的IP報文都會經過攻擊者(中間人)進行中轉,攻擊
者便很容易竊取這些IP報文中的某些信息,並利用這些信息來進行其他的破壞行爲。攻擊
者也可以很容易對往來於PC-A與DHCP Server之間的DHCP消息(這些消息是封裝在UDP
報文中的,而UDP報文又是封裝在IP報文中的)進行篡改,達到直接攻擊DHCP的目的。
5、DHCP Snooping技術的出現
●爲了增強網絡安全,防止DHCP受到攻擊, -種稱爲DHCP Snooping的技術應運
●爲了增強網絡安全,防止DHCP受到攻擊, -種稱爲DHCP Snooping的技術應運設備製造商在DHCP Snooping的實現上也不盡相同。
●DHCP Snooping部署在交換機上,其作用類似於在DHCP客戶端與DHCP服務器端之間構築了-道虛擬的防火牆。
6、DHCP的防護機制防護機制
DHCP Snooping用於防止DHCP餓死攻擊
DHCP餓死攻擊是攻擊者通過持續大量地向DHCP Server申請IP地址來實現的,其目的是
耗盡DHCP Server地址池中的IP地址,導致DHCP Server沒有IP地址分配給正常的用戶。
DHCP消息中有一個名叫CHADDR(Client Hardware Address)的字段,該字段是由
DHCP客戶端填寫的,表示的是客戶端的硬件地址(也就是客戶端的MAC地址)。DHCP
Server是針對CHADDR來分配IP地址的,對於不同的CHADDR,DHCP Server會分配不同
的IP地址;DHCP Server無法區分什麼樣的CHADDR是合法的,什麼樣的CHADDR是非法
的。利用這個漏洞,攻擊者每申請一個IP地址時,就在DHCP消息的CHADDR字段中填寫
一個不同的值,以此來冒充是不同的用戶在申請IP地址。
爲了彌補上述漏洞,從而阻止餓死攻擊,DHCP Snooping技術支持在端口下對DHCP
Request報文的源MAC地址與CHADDR進行一致性檢查:如果二者相同,則轉發報文;如
果二者不相同,則丟棄。如果要在某端口下實施源MAC地址與CHADDR的一致性檢查,可
以在該端口下使用命令dhcp snooping check dhcp-chaddr enable。 還可能存在這樣一種餓死攻擊,就是攻擊者不斷同時變換MAC地址和CHADDR,並且每一次變換時,都讓CHADDR與MAC地址相同,如此一來,便可以躲過上述源MAC地址與CHADDR的一致性檢查!
DHCP Snooping用3 F防止仿冒DHCP Server攻擊
DHCP Snooping將交換機上的端口分爲兩種類型,即信任端口(Trusted端口)和非信任
端口(Untrusted端口);與合法的DHCP Server相連接的端口應配置爲Trusted端口,其
他端口應配置爲Untrusted端口。
交換機從Trusted端口接收到DHCP響應報文(例如DHCP Offer報文、DHCP Ack報文等
等)後,會轉發這些報文,從而保證合法的DHCP Server可以正常地分配IP地址及提供其
他網絡參數;交換機從Untrusted端口接收到DHCP響應報文(例如DHCP Offer報文、
DHCP Ack報文等等)後,會丟棄這些報文,從而阻止仿冒的DHCP Server分配IP地址及
提供其他網絡參數。
關鍵配置命令:交換機的端口默認是Untrusted端口。如果需要將交換機的某個端口配置
爲Trusted端口,可以在該端口視圖下使用命令dhcp snooping trusted。如果需要將某個
Trusted端口恢復爲Untrusted端口,可以在該端口視圖下使用命令undo dhcp snooping
trusted。
DHCP Snooping用於防止DHCP中間人攻擊
,我們已經知道, DHCP中間人攻擊本質上是一種Spoofing IP/MAC攻擊。 要想防止DHCP中間人攻擊,其實就是要防止Spoofing IP/MAC攻擊。
運行了DHCP Snooping的交換機會 "偵聽( Snooping )”往來於用戶與DHCP Server之間的DHCP消息,並從中收集用戶的MAC地址(這裏的MAC地址是指DHCP消息中CHADDR字段的值)、用戶的IP地址(這裏的IP地址是指DHCP Servet分配給相應CHADDR的IP地址)等信息,這些信息會集中存放在一個數據庫中,該數據庫也被稱爲DHCP Snooping綁定表。運行了DHCP Snooping的交換機會建立並動態維護DHCP
Snooping綁定表,綁定表中除了包含了用戶的MAC地址、用戶的IP地址外,還包括IP地址租用期、VLAN-ID等等信息。址租用期、VLAN-ID等等信息。
如圖所示,假設DHCP Server給PC- A分配了IP地址IP-A ,給PC-B分配了IP地址IP-B ,那麼IP-A與MAC-A就形成了綁定關係, IP-B與MAC-B也形成了綁定關係,這種綁定關係都存放於DHCP Snooping綁定表中。
攻擊者爲了讓Server學習到IP-A與MAC-B的映射關係,會發送ARP請求報文(將ARP報文中的源IP地址填爲IP-A ,源MAC地址填爲MAC-B )。交換機接收到ARP請求報文後,會檢查該ARP請求報文中的源IP地址和源MAC地址,發現該IP/MAC ( IP-A/MAC-B )映射關係不能匹配DHCP Snooping綁定表中的條目, 於是會丟IP/MAC ( IP-A/MAC-B )映射關係不能匹配DHCP Snooping綁定表中的條目, 於是會丟IP/MAC ( IP-A/MAC-B )映射關係不能匹配DHCP Snooping綁定表中的條目, 於是會丟須在交換機的系統視圖”下執行配置命令arp dhcp-snooping-detect enable.
7、DHCP Snooping與IPSG技術的聯動
網絡中經常會存在針對源IP地址進行欺騙的攻擊行爲,例如,攻擊者仿冒合法用戶的IP地
址來向服務器發送IP報文。針對這類攻擊,相應的防範技術稱爲IPSG(IP Source Guard)
技術。
交換機使能IPSG功能後,會對進入交換機端口的報文進行合法性檢查,並對報文進行過濾
(如果合法,則轉發;如果非法,則丟棄)。
DHCP Snooping技術可與IPSG技術進行聯動,即:對於進入交換機端口的報文進行DHCP
Snooping綁定表匹配檢查,如果報文的信息和與綁定表一致,則允許其通過,否則丟棄報
文。
報文的檢查項可以是源IP地址、源MAC地址、VLAN和物理端口號的若干種組合。例如,
在交換機的端口視圖下可支持IP+MAC、IP+VLAN、IP+MAC+VLAN等組合檢查,在交
換機的VLAN視圖下可支持:IP+MAC、IP+物理端口號、IP+MAC+物理端口號等組合檢
查。
關鍵配置命令:在交換機的端口視圖下或VLAN視圖下執行配置命令ip source check
user-bind enable。
本篇分享到此,歡迎交流,共同進步!