CCNP指导：Cisco交换机DHCPSnooping功能及配置

会计考友

一、采用DHCP处事的常见问题
3 t: Z6 B. y: M8 F4 q+ s　　架设DHCP处事器可觉得客户端自动分配IP地址、掩码、默认网关、DNS处事器等收集参数，简化了
　　收集设置装备摆设，提高了打点效率。但在DHCP处事的打点上存在一些问题，常见的有：
　　●DHCP Server的假充
; b8 w  k, G+ b8 b8 D( m7 a6 n　　●DHCP Server的DOS抨击袭击，如DHCP耗竭抨击袭击
; R# C; E9 M" A2 H$ a- l　　●某些用户随便指定IP地址，造成IP地址冲突
　　1、DHCP Server的假充
　　因为DHCP处事器和客户端之间没有认证机制，所以如不美观在收集上随意添加一台DHCP处事器，它就可觉得客户端分配IP地址以及其他收集参数。只要让该DHCP处事器分配错误的IP地址和其他收集参数，那就会对拓馇造成很是年夜的风险。
　　2、DHCP Server的拒绝处事抨击袭击
　　凡是DHCP处事器经由过程搜检客户端发送的DHCP请求报文中的CHADDR（也就是Client MAC address）字段来判定客户端的MAC地址。正常情形下该CHADDR字段和发送请求报文的客户端真实的MAC地址是不异的。抨击袭击者可以操作伪造 MAC的体例发送DHCP请求，但这种抨击袭击可以使用Cisco 交流机 的端口平安特征来防止。端口平安特征（PortSecurity）可以限制每个端口只使用独一的MAC地址。可是如不美观抨击袭击者不改削DHCP请求报文的源 MAC地址，而是改削DHCP报文中的CHADDR字段来实施抨击袭击，那端口平安就不起浸染了。因为DHCP处事器认为分歧的CHADDR值暗示请求来自分歧的客户端，所以抨击袭击者可以经由过程年夜量发送伪造CHADDR的DHCP请求，导致DHCP处事器上的地址池被耗尽，年夜而无法为其他正常用户供给收集地址，这是一种DHCP耗竭抨击袭击。DHCP耗竭抨击袭击可所以纯粹的DOS抨击袭击，也可以与伪造的DHCP处事器配合使用。当正常的DHCP处事器瘫痪时，抨击袭击者就可以成立伪造的DHCP处事器来为局域网中的客户端供给地址，使它们将信息转发给筹备进取的恶意计较机。甚至即使DHCP请求报文的源MAC地址和 CHADDR字段都是正确的，但因为DHCP请求报文是广播报文，如不美观年夜量发送的话也会耗尽收集带宽，形成另一种拒绝处事抨击袭击。
5 ]  s! c: b$ G& |: L. w　　3、客户端随意指定IP地址
　　客户端并非必然要使用DHCP处事，它可以经由过程静态指定的体例来设置IP地址。如不美观随便指定的话，将会年夜年夜提高收集IP地址冲突的可能性。
/ J) r8 @1 h0 M! e" C二、DHCP Snooping手艺介绍
7 A; ]) x  q! J* z1 j　　DHCP监听（DHCP Snooping）是一种DHCP平安特征。Cisco交流机撑持在每个VLAN基本上启用DHCP监听特征。经由过程这种特征，交流机能够阻挡第二层VLAN域内的所有DHCP报文。
  \0 O% N- s0 a1 t  J- k　　DHCP监听将交流机端口划分为两类：
　　●非信赖端口：凡是为毗连终端设备的端口，如PC，收集打印机等
　　●信赖端口：毗团结法DHCP处事器的端口或者毗连汇聚交流机的上行端口
　　经由过程开启DHCP监听特征，交流机限制用户端口（非信赖端口）只能够发送DHCP请求，丢弃来自用户端口的所有其它DHCP报文，例如 DHCPOffer 报文等。而且，并非所有来自用户端口的DHCP请求都被许可经由过程，交流机还会斗劲DHCP请求报文的（报文头里的）源MAC地址和（报文内容里的）DHCP客户机的硬件地址（即CHADDR字段），只有这两者不异的请求报文才会被转发，否则将被丢弃。这样就防止了DHCP耗竭抨击袭击。信赖端口可以领受所有的DHCP报文。经由过程只将交流机毗连到正当DHCP处事器的端口设置为信赖端口，其他端口设置为非信赖端口，就可以防止用户伪造DHCP处事器来抨击袭击收集。DHCP监听特征还可以对端口的DHCP报文进行限速。经由过程在每个非信赖端口下进行限速，将可以阻止正当DHCP请求报文的广播抨击袭击。DHCP 监听还有一个很是主要的浸染就是成立一张DHCP监听绑定表（DHCP SnoopingBinding）。一旦一个毗连在非信赖端口的客户端获得一个正当的DHCPOffer，交流机就会自动在DHCP监听绑定内外添加一个绑定条目，内容搜罗了该非信赖端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信息。如：
　　Switch#show ip dhcp snooping binding
　　MacAddress IpAddress Lease(sec) Type VLAN Interface
# }" @5 u5 ?! S- q
　　------------------ --------------- ---------- ------------- ---- ----------------

会计考友

</p>　　00:0F:1F:C5:10:08 192.168.10.131 682463 dhcp-snooping 10 FastEthernet0/1
' H0 {2 m8 W5 q$ m- i! n" R9 V1 L1 |　　这张DHCP监听绑定表为进一步部署IP源防护（IPSG）和动态ARP检测（DAI）供给了依据。声名：
: V1 f  V0 V+ j3 K　　I.非信赖端口只许可客户端的DHCP请求报文经由过程，这里只是相对于DHCP报文来说的。其他非DHCP报文仍是可以正常转发的。这就暗示客户端可以以静态指定IP地址的体例经由过程非信赖端口接入收集。因为静态客户端不会发送DHCP报文，所以DHCP监听绑定内外也不会有该静态客户端的记实。信赖端口的客户端信息不会被记实到DHCP监听绑定内外。如不美观有一客户端毗连到了一个信赖端口，即使它是经由过程正常的DHCP体例获得IP地址，DHCP监听绑定内外也不有该客户端的记实。如不美观要求客户端只能以动态获得IP的体例接入收集，则必需借助于IPSG和DAI手艺。
7 S- K: `6 R! d5 r+ z: Y; u- p5 P　　II.交流机为了获得高速转发，凡是只搜检报文的二层帧头，获得方针MAC地址后直接转发，不会去搜检报文的内容。而DHCP监听素质上就是开启交流机对DHCP报文的内容部门的搜检，DHCP报文不再只是被搜检帧头了。
1 \6 ~0 ~( D7 ~- e3 ~; N# |　　III. DHCP监听绑定表不仅用于防御DHCP抨击袭击，还为后续的IPSG和DAI手艺供给动态数据库撑持。
0 x. T$ U1 U8 {! j0 j, X　　IV.DHCP监听绑定内外的Lease列就是每个客户端对应的DHCP租约时刻。当客户端分开收集后，该条目并不会当即消逝踪。当客户端再次接入收集，年夜头倡议DHCP请求往后，响应的条目内容就会被更新。如膳缦沔的00F.1FC5.1008这个客户端原本插在Fa0/1端口，此刻插在Fa0/3端口，响应的记其实它再次发送DHCP请求并获得地址后会更新为：
" w* d0 ]- `: G: `2 z& o1 b0 V$ Y. g　　Switch#show ip dhcp snooping binding
　　or
　　Switch#show ip source binding
& k; D$ f8 n2 ]+ f, r7 w　　MacAddress 　　　　　IpAddress　　Lease(sec) 　　Type 　　VLAN 　　　Interface
　　------------------ 　　　--------------- 　　---------- 　　-------------　　 ---- 　　----------------
: N3 m" ^0 t& [9 O+ W9 t　　00:0F:1F:C5:10:08 192.168.10.131 　691023 　　dhcp-snooping 10 　　FastEthernet0/3
6 i3 L1 `) g3 j" a1 u　　V.当交流机收到一个DHCPDECLINE或DHCPRELEASE广播报文，而且报文头的源MAC地址存在于DHCP监听绑定表的一个条目中。可是报文的现实领受端口与绑定表条目中的端口字段纷歧致时，该报文将被丢弃。
　　●DHCPRELEASE报文：此报文是客户端自动释放IP 地址（如Windows 客户端使用ipconfig/release），当DHCP处事器收到此报文后就可以收回IP地址，分配给其他的客户端了
　　●DHCPDECLINE报文：当客户端发现DHCP处事器分配给它的IP地址无法使用（如IP地址发生冲突）时，将发出此报文让DHCP处事器禁止使用此次分配的IP地址。
0 R* o. j- Z" v" d　　VI. DHCP监听绑定表中的条目可以手工添加。
& X* T- _& Z1 w  |7 S; i　　VII. DHCP监听绑定表在设备重启后会丢失踪，需要年夜头绑定，但可以经由过程设置将绑定表保留在flash或者tftp/ftp处事器上，待设备重启后直接篡夺，而不需要客户端再次进行绑定
! C9 X: F0 u6 f" l) e4 r2 ^　　VIII. 当前主流的Cisco交流机根基都撑持DHCP Snooping功能。