簡介
當交換機開啓了 DHCP-Snooping後,會對DHCP報文進行偵聽,並可以從接收到的DHCP Request或DHCP Ack報文中提取並記錄IP地址和MAC地址信息。另外,DHCP-Snooping允許將某個物理端口設置爲信任端口或不信任端口。信任端口可以正常接收並轉發DHCP Offer報文,而不信任端口會將接收到的DHCP Offer報文丟棄。這樣,可以完成交換機對假冒DHCP Server的屏蔽作用,確保客戶端從合法的DHCP Server獲取IP地址。
DHCP Snooping技術是DHCP安全特性,通過建立和維護DHCP Snooping綁定表過濾不可信任的DHCP信息,這些信息是指來自不信任區域的DHCP信息。DHCP Snooping綁定表包含不信任區域的用戶MAC地址、IP地址、租用期、VLAN-ID 接口等信息。
作用
1.隔絕非法的dhcp server,通過配置非信任端口。
2.與交換機DAI的配合,防止ARP病毒的傳播。
3.建立和維護一張dhcp-snooping的綁定表,這張表一是通過dhcp ack包中的ip和mac地址生成的,二是可以手工指定。這張表是後續DAI(dynamic arp inspect)和IPSource Guard 基礎。這兩種類似的技術,是通過這張表來判定ip或者mac地址是否合法,來限制用戶連接到網絡的。
4.通過建立信任端口和非信任端口,對非法DHCP服務器進行隔離,信任端口正常轉發DHCP數據包,非信任端口收到的服務器響應的DHCP offer和DHCPACK後,做丟包處理,不進行轉發。
防止ARP污染
DHCP snooping還可以跟蹤主機的物理位置,從而可以防禦(ARP)緩存污染***。它在防禦這些***的過程中發揮重要作用,因爲您可以使用DHCP snooping技術丟棄一些來源與目標MAC地址不符合已定義規則的DHCP消息。管理會收到通過DHCP snooping警報通知的違規行爲。當DHCP snooping服務檢測到違規行爲時,它會在系統日誌服務器上記錄一條消息“DHCP Snooping”。
DHCP snooping是實現2層協議流量安全性的第一步。惡意DHCP服務器不僅會導致網絡問題,它們還可以被***者用於轉發敏感流量和發起中間人***。如果還沒有做好這些措施,那麼一定要考慮實現這些防禦措施,保證網絡基礎架構的安全性。
h3c配置
配置步驟
使能DHCP Snooping功能。
<SwitchB> system-view
[SwitchB] dhcp-snooping
配置Ethernet1/1端口爲信任端口。
[SwitchB] interface ethernet 1/1
[SwitchB-Ethernet1/1] dhcp-snooping trust
[SwitchB-Ethernet1/1] quit
