CCNP指导：Cisco交换机DHCPSnooping功能及配置

会计考友

一、采用DHCP处事的常见问题
$ X( ^# A5 @, Y1 x3 {; U- ~  A& C　　架设DHCP处事器可觉得客户端自动分配IP地址、掩码、默认网关、DNS处事器等收集参数，简化了
8 [+ }% m, }+ A& B6 E( R　　收集设置装备摆设，提高了打点效率。但在DHCP处事的打点上存在一些问题，常见的有：
& J9 r1 Z* v9 j- D' X　　●DHCP Server的假充
, V& V# D4 r+ V3 L8 r# M　　●DHCP Server的DOS抨击袭击，如DHCP耗竭抨击袭击
7 S: O; E* `' B3 n　　●某些用户随便指定IP地址，造成IP地址冲突
$ Z/ x6 a9 X3 a9 q- `　　1、DHCP Server的假充
  l2 X4 L9 D) \, k% W　　因为DHCP处事器和客户端之间没有认证机制，所以如不美观在收集上随意添加一台DHCP处事器，它就可觉得客户端分配IP地址以及其他收集参数。只要让该DHCP处事器分配错误的IP地址和其他收集参数，那就会对拓馇造成很是年夜的风险。
. H1 h/ J: C* _　　2、DHCP Server的拒绝处事抨击袭击
　　凡是DHCP处事器经由过程搜检客户端发送的DHCP请求报文中的CHADDR（也就是Client MAC address）字段来判定客户端的MAC地址。正常情形下该CHADDR字段和发送请求报文的客户端真实的MAC地址是不异的。抨击袭击者可以操作伪造 MAC的体例发送DHCP请求，但这种抨击袭击可以使用Cisco 交流机 的端口平安特征来防止。端口平安特征（PortSecurity）可以限制每个端口只使用独一的MAC地址。可是如不美观抨击袭击者不改削DHCP请求报文的源 MAC地址，而是改削DHCP报文中的CHADDR字段来实施抨击袭击，那端口平安就不起浸染了。因为DHCP处事器认为分歧的CHADDR值暗示请求来自分歧的客户端，所以抨击袭击者可以经由过程年夜量发送伪造CHADDR的DHCP请求，导致DHCP处事器上的地址池被耗尽，年夜而无法为其他正常用户供给收集地址，这是一种DHCP耗竭抨击袭击。DHCP耗竭抨击袭击可所以纯粹的DOS抨击袭击，也可以与伪造的DHCP处事器配合使用。当正常的DHCP处事器瘫痪时，抨击袭击者就可以成立伪造的DHCP处事器来为局域网中的客户端供给地址，使它们将信息转发给筹备进取的恶意计较机。甚至即使DHCP请求报文的源MAC地址和 CHADDR字段都是正确的，但因为DHCP请求报文是广播报文，如不美观年夜量发送的话也会耗尽收集带宽，形成另一种拒绝处事抨击袭击。
0 v) \* r/ a8 Q* ?# O- c7 b- M3 R　　3、客户端随意指定IP地址
% e6 }0 q) y! c; o$ F　　客户端并非必然要使用DHCP处事，它可以经由过程静态指定的体例来设置IP地址。如不美观随便指定的话，将会年夜年夜提高收集IP地址冲突的可能性。
# J4 ~/ `+ ]9 y. h8 f' y" S" P二、DHCP Snooping手艺介绍
) v0 K# j+ M6 l$ }　　DHCP监听（DHCP Snooping）是一种DHCP平安特征。Cisco交流机撑持在每个VLAN基本上启用DHCP监听特征。经由过程这种特征，交流机能够阻挡第二层VLAN域内的所有DHCP报文。
& w7 ^9 w5 p6 [7 e2 a+ y　　DHCP监听将交流机端口划分为两类：
' H3 Q5 l& {5 `: ?# B3 G　　●非信赖端口：凡是为毗连终端设备的端口，如PC，收集打印机等
+ g. \, S6 A, z: j$ O  d% N　　●信赖端口：毗团结法DHCP处事器的端口或者毗连汇聚交流机的上行端口
　　经由过程开启DHCP监听特征，交流机限制用户端口（非信赖端口）只能够发送DHCP请求，丢弃来自用户端口的所有其它DHCP报文，例如 DHCPOffer 报文等。而且，并非所有来自用户端口的DHCP请求都被许可经由过程，交流机还会斗劲DHCP请求报文的（报文头里的）源MAC地址和（报文内容里的）DHCP客户机的硬件地址（即CHADDR字段），只有这两者不异的请求报文才会被转发，否则将被丢弃。这样就防止了DHCP耗竭抨击袭击。信赖端口可以领受所有的DHCP报文。经由过程只将交流机毗连到正当DHCP处事器的端口设置为信赖端口，其他端口设置为非信赖端口，就可以防止用户伪造DHCP处事器来抨击袭击收集。DHCP监听特征还可以对端口的DHCP报文进行限速。经由过程在每个非信赖端口下进行限速，将可以阻止正当DHCP请求报文的广播抨击袭击。DHCP 监听还有一个很是主要的浸染就是成立一张DHCP监听绑定表（DHCP SnoopingBinding）。一旦一个毗连在非信赖端口的客户端获得一个正当的DHCPOffer，交流机就会自动在DHCP监听绑定内外添加一个绑定条目，内容搜罗了该非信赖端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信息。如：
　　Switch#show ip dhcp snooping binding
　　MacAddress IpAddress Lease(sec) Type VLAN Interface

　　------------------ --------------- ---------- ------------- ---- ----------------

会计考友

</p>　　00:0F:1F:C5:10:08 192.168.10.131 682463 dhcp-snooping 10 FastEthernet0/1
　　这张DHCP监听绑定表为进一步部署IP源防护（IPSG）和动态ARP检测（DAI）供给了依据。声名：
　　I.非信赖端口只许可客户端的DHCP请求报文经由过程，这里只是相对于DHCP报文来说的。其他非DHCP报文仍是可以正常转发的。这就暗示客户端可以以静态指定IP地址的体例经由过程非信赖端口接入收集。因为静态客户端不会发送DHCP报文，所以DHCP监听绑定内外也不会有该静态客户端的记实。信赖端口的客户端信息不会被记实到DHCP监听绑定内外。如不美观有一客户端毗连到了一个信赖端口，即使它是经由过程正常的DHCP体例获得IP地址，DHCP监听绑定内外也不有该客户端的记实。如不美观要求客户端只能以动态获得IP的体例接入收集，则必需借助于IPSG和DAI手艺。
　　II.交流机为了获得高速转发，凡是只搜检报文的二层帧头，获得方针MAC地址后直接转发，不会去搜检报文的内容。而DHCP监听素质上就是开启交流机对DHCP报文的内容部门的搜检，DHCP报文不再只是被搜检帧头了。
& H; I4 K: R0 c: B  `) N　　III. DHCP监听绑定表不仅用于防御DHCP抨击袭击，还为后续的IPSG和DAI手艺供给动态数据库撑持。
+ r; _" F- H0 H6 \! i9 Z　　IV.DHCP监听绑定内外的Lease列就是每个客户端对应的DHCP租约时刻。当客户端分开收集后，该条目并不会当即消逝踪。当客户端再次接入收集，年夜头倡议DHCP请求往后，响应的条目内容就会被更新。如膳缦沔的00F.1FC5.1008这个客户端原本插在Fa0/1端口，此刻插在Fa0/3端口，响应的记其实它再次发送DHCP请求并获得地址后会更新为：
/ g9 i& \7 X- ]! |  I8 z　　Switch#show ip dhcp snooping binding
　　or
3 c8 \& D% V& D0 X% d　　Switch#show ip source binding
; W4 x6 S8 B1 o% w* b0 ~. T　　MacAddress 　　　　　IpAddress　　Lease(sec) 　　Type 　　VLAN 　　　Interface
　　------------------ 　　　--------------- 　　---------- 　　-------------　　 ---- 　　----------------
　　00:0F:1F:C5:10:08 192.168.10.131 　691023 　　dhcp-snooping 10 　　FastEthernet0/3
6 P+ g6 y8 \+ Y- s3 s4 X; E; D　　V.当交流机收到一个DHCPDECLINE或DHCPRELEASE广播报文，而且报文头的源MAC地址存在于DHCP监听绑定表的一个条目中。可是报文的现实领受端口与绑定表条目中的端口字段纷歧致时，该报文将被丢弃。
　　●DHCPRELEASE报文：此报文是客户端自动释放IP 地址（如Windows 客户端使用ipconfig/release），当DHCP处事器收到此报文后就可以收回IP地址，分配给其他的客户端了
　　●DHCPDECLINE报文：当客户端发现DHCP处事器分配给它的IP地址无法使用（如IP地址发生冲突）时，将发出此报文让DHCP处事器禁止使用此次分配的IP地址。
, Z6 N% a9 h% A  E9 R% m　　VI. DHCP监听绑定表中的条目可以手工添加。
8 M4 }' w3 ~0 a; j　　VII. DHCP监听绑定表在设备重启后会丢失踪，需要年夜头绑定，但可以经由过程设置将绑定表保留在flash或者tftp/ftp处事器上，待设备重启后直接篡夺，而不需要客户端再次进行绑定
/ k! \1 ]: j- T0 D4 G( E1 N2 C; H- r　　VIII. 当前主流的Cisco交流机根基都撑持DHCP Snooping功能。