CCNP指导：Cisco交换机DHCPSnooping功能及配置

会计考友

一、采用DHCP处事的常见问题
' N4 j, {( m* ~0 p3 w: E　　架设DHCP处事器可觉得客户端自动分配IP地址、掩码、默认网关、DNS处事器等收集参数，简化了
0 L6 w$ g+ }" ^. k1 U0 `! j6 B　　收集设置装备摆设，提高了打点效率。但在DHCP处事的打点上存在一些问题，常见的有：
, M4 r1 |+ J  z8 ?. W) C　　●DHCP Server的假充
　　●DHCP Server的DOS抨击袭击，如DHCP耗竭抨击袭击
　　●某些用户随便指定IP地址，造成IP地址冲突
1 X8 x6 Q. M# J$ ]: u. r9 M　　1、DHCP Server的假充
　　因为DHCP处事器和客户端之间没有认证机制，所以如不美观在收集上随意添加一台DHCP处事器，它就可觉得客户端分配IP地址以及其他收集参数。只要让该DHCP处事器分配错误的IP地址和其他收集参数，那就会对拓馇造成很是年夜的风险。
' C- i/ `6 {0 ~% z　　2、DHCP Server的拒绝处事抨击袭击
9 x0 _7 Y3 ~/ L, u1 C1 P　　凡是DHCP处事器经由过程搜检客户端发送的DHCP请求报文中的CHADDR（也就是Client MAC address）字段来判定客户端的MAC地址。正常情形下该CHADDR字段和发送请求报文的客户端真实的MAC地址是不异的。抨击袭击者可以操作伪造 MAC的体例发送DHCP请求，但这种抨击袭击可以使用Cisco 交流机 的端口平安特征来防止。端口平安特征（PortSecurity）可以限制每个端口只使用独一的MAC地址。可是如不美观抨击袭击者不改削DHCP请求报文的源 MAC地址，而是改削DHCP报文中的CHADDR字段来实施抨击袭击，那端口平安就不起浸染了。因为DHCP处事器认为分歧的CHADDR值暗示请求来自分歧的客户端，所以抨击袭击者可以经由过程年夜量发送伪造CHADDR的DHCP请求，导致DHCP处事器上的地址池被耗尽，年夜而无法为其他正常用户供给收集地址，这是一种DHCP耗竭抨击袭击。DHCP耗竭抨击袭击可所以纯粹的DOS抨击袭击，也可以与伪造的DHCP处事器配合使用。当正常的DHCP处事器瘫痪时，抨击袭击者就可以成立伪造的DHCP处事器来为局域网中的客户端供给地址，使它们将信息转发给筹备进取的恶意计较机。甚至即使DHCP请求报文的源MAC地址和 CHADDR字段都是正确的，但因为DHCP请求报文是广播报文，如不美观年夜量发送的话也会耗尽收集带宽，形成另一种拒绝处事抨击袭击。
　　3、客户端随意指定IP地址
　　客户端并非必然要使用DHCP处事，它可以经由过程静态指定的体例来设置IP地址。如不美观随便指定的话，将会年夜年夜提高收集IP地址冲突的可能性。
二、DHCP Snooping手艺介绍
　　DHCP监听（DHCP Snooping）是一种DHCP平安特征。Cisco交流机撑持在每个VLAN基本上启用DHCP监听特征。经由过程这种特征，交流机能够阻挡第二层VLAN域内的所有DHCP报文。
　　DHCP监听将交流机端口划分为两类：
　　●非信赖端口：凡是为毗连终端设备的端口，如PC，收集打印机等
2 E, D8 r  z- h0 x　　●信赖端口：毗团结法DHCP处事器的端口或者毗连汇聚交流机的上行端口
( {$ |7 T; s  O' l+ k! n- y) ~/ Q　　经由过程开启DHCP监听特征，交流机限制用户端口（非信赖端口）只能够发送DHCP请求，丢弃来自用户端口的所有其它DHCP报文，例如 DHCPOffer 报文等。而且，并非所有来自用户端口的DHCP请求都被许可经由过程，交流机还会斗劲DHCP请求报文的（报文头里的）源MAC地址和（报文内容里的）DHCP客户机的硬件地址（即CHADDR字段），只有这两者不异的请求报文才会被转发，否则将被丢弃。这样就防止了DHCP耗竭抨击袭击。信赖端口可以领受所有的DHCP报文。经由过程只将交流机毗连到正当DHCP处事器的端口设置为信赖端口，其他端口设置为非信赖端口，就可以防止用户伪造DHCP处事器来抨击袭击收集。DHCP监听特征还可以对端口的DHCP报文进行限速。经由过程在每个非信赖端口下进行限速，将可以阻止正当DHCP请求报文的广播抨击袭击。DHCP 监听还有一个很是主要的浸染就是成立一张DHCP监听绑定表（DHCP SnoopingBinding）。一旦一个毗连在非信赖端口的客户端获得一个正当的DHCPOffer，交流机就会自动在DHCP监听绑定内外添加一个绑定条目，内容搜罗了该非信赖端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信息。如：
　　Switch#show ip dhcp snooping binding
# `, f$ z8 D. V" q3 T- Y) x　　MacAddress IpAddress Lease(sec) Type VLAN Interface
9 q! R# v) g+ W6 y8 {
! r: z* A/ e* p; S3 M& M　　------------------ --------------- ---------- ------------- ---- ----------------

会计考友

</p>　　00:0F:1F:C5:10:08 192.168.10.131 682463 dhcp-snooping 10 FastEthernet0/1
　　这张DHCP监听绑定表为进一步部署IP源防护（IPSG）和动态ARP检测（DAI）供给了依据。声名：
　　I.非信赖端口只许可客户端的DHCP请求报文经由过程，这里只是相对于DHCP报文来说的。其他非DHCP报文仍是可以正常转发的。这就暗示客户端可以以静态指定IP地址的体例经由过程非信赖端口接入收集。因为静态客户端不会发送DHCP报文，所以DHCP监听绑定内外也不会有该静态客户端的记实。信赖端口的客户端信息不会被记实到DHCP监听绑定内外。如不美观有一客户端毗连到了一个信赖端口，即使它是经由过程正常的DHCP体例获得IP地址，DHCP监听绑定内外也不有该客户端的记实。如不美观要求客户端只能以动态获得IP的体例接入收集，则必需借助于IPSG和DAI手艺。
　　II.交流机为了获得高速转发，凡是只搜检报文的二层帧头，获得方针MAC地址后直接转发，不会去搜检报文的内容。而DHCP监听素质上就是开启交流机对DHCP报文的内容部门的搜检，DHCP报文不再只是被搜检帧头了。
　　III. DHCP监听绑定表不仅用于防御DHCP抨击袭击，还为后续的IPSG和DAI手艺供给动态数据库撑持。
& o+ X$ x$ f) y/ a　　IV.DHCP监听绑定内外的Lease列就是每个客户端对应的DHCP租约时刻。当客户端分开收集后，该条目并不会当即消逝踪。当客户端再次接入收集，年夜头倡议DHCP请求往后，响应的条目内容就会被更新。如膳缦沔的00F.1FC5.1008这个客户端原本插在Fa0/1端口，此刻插在Fa0/3端口，响应的记其实它再次发送DHCP请求并获得地址后会更新为：
- @3 L- p, `4 Q* N- B( L　　Switch#show ip dhcp snooping binding
! f# R- C* L" s% d; r) Q　　or
　　Switch#show ip source binding
　　MacAddress 　　　　　IpAddress　　Lease(sec) 　　Type 　　VLAN 　　　Interface
　　------------------ 　　　--------------- 　　---------- 　　-------------　　 ---- 　　----------------
　　00:0F:1F:C5:10:08 192.168.10.131 　691023 　　dhcp-snooping 10 　　FastEthernet0/3
　　V.当交流机收到一个DHCPDECLINE或DHCPRELEASE广播报文，而且报文头的源MAC地址存在于DHCP监听绑定表的一个条目中。可是报文的现实领受端口与绑定表条目中的端口字段纷歧致时，该报文将被丢弃。
　　●DHCPRELEASE报文：此报文是客户端自动释放IP 地址（如Windows 客户端使用ipconfig/release），当DHCP处事器收到此报文后就可以收回IP地址，分配给其他的客户端了
　　●DHCPDECLINE报文：当客户端发现DHCP处事器分配给它的IP地址无法使用（如IP地址发生冲突）时，将发出此报文让DHCP处事器禁止使用此次分配的IP地址。
　　VI. DHCP监听绑定表中的条目可以手工添加。
5 m0 G, S  f& q3 U6 g　　VII. DHCP监听绑定表在设备重启后会丢失踪，需要年夜头绑定，但可以经由过程设置将绑定表保留在flash或者tftp/ftp处事器上，待设备重启后直接篡夺，而不需要客户端再次进行绑定
　　VIII. 当前主流的Cisco交流机根基都撑持DHCP Snooping功能。