DHCP SNOOPING

DHCP SNOOPING

如何防止在配置DHCP的网络内，因为用户不小心将家用路由的LAN口接入网络内，导致大规模用户获取到的地址并非配置的DHCP地址池的，可以采用DHCP SHOOPING来解决。

一、DHCP snooping技术介绍

DHCP Snooping是 DHCP 的一种安全特性，主要应用在接入交换机上，作用是屏蔽接入网络中的非法的 DHCP 服务器。即开启 DHCP Snooping功能后，网络中的客户端只有从管理员指定的 DHCP 服务器获取 IP 地址。

由于 DHCP 报文缺少认证机制，如果网络中存在非法 DHCP 服务器，管理员将无法保证客户端从管理员指定的 DHCP服务器获取合法地址，客户机有可能从非法 DHCP 服务器获得错误的 IP 地址等配置信息，导致客户端无法正常使用网络。

启用 DHCP Snooping 功能后，必须将 交换机上的端口设置为信任(Trust)和非信任(Untrust)状态，交换机 只转发信任端口的 DHCP OFFER/ACK/NAK报文，丢弃非信任端口的 DHCP OFFER/ACK/NAK 报文，从而达到阻断非法 DHCP 服务器的目的。

建议将连接 DHCP 服务器的端口设置为信任端口，其他端口设置为非信任端口。此外 DHCP Snooping 还会监听经过本机的 DHCP 数据包，提取其中的关键信息并生成 DHCP Binding Table 记录表，一条记录包括 IP、MAC、租约时间、端口、VLAN、类型等信息，结合 DAI(Dynamic ARP Inspection)和 IPSG(IP Source Guard)可实现ARP防欺骗和IP流量控制功能。

二、DHCP snooping配置思路

1.使能DHCP Snooping功能。

2.配置接口的信任状态，以保证客户端从合法的服务器获取IP地址。

3.使能ARP与DHCPSnooping的联动功能，保证DHCP用户在异常下线时实时更新绑定表。

4.使能根据DHCP Snooping绑定表生成接口的静态MAC表项功能，以防止非DHCP用户攻击。

5.使能对DHCP报文进行绑定表匹配检查的功能，防止仿冒DHCP报文攻击。

6.配置DHCP报文上送DHCP报文处理单元的最大允许速率，防止DHCP报文泛洪攻击。

7.配置允许接入的最大用户数以及使能检测DHCP Request

三、配置步骤

1.使能DHCP Snooping功能。

[SwitchC] dhcp enable

[SwitchC]dhcp snooping enable

2.使能用户侧接口的DHCP Snooping功能。

[SwitchC] dhcp snooping enable vlan 1 to 100（或直接在接口启用如下）

[SwitchC] interface gigabitethernet 0/0/1

[SwitchC-GigabitEthernet0/0/1] dhcp snooping enable

3.配置接口的信任状态：将连接DHCP Server的接口状态配置为“Trusted”。接dhcp的端口和交换机级联端口需要配置

[SwitchC] interface gigabitethernet 0/0/3

[SwitchC-GigabitEthernet0/0/3]dhcp snooping trusted

4.使能ARP与DHCPSnooping的联动功能。

[SwitchC]arp dhcp-snooping-detect enable

5.使能对DHCP报文进行绑定表匹配检查的功能。

[SwitchC] interface gigabitethernet0/0/1

[SwitchC-GigabitEthernet0/0/1] dhcp snooping check dhcp-request enable

6.配置DHCP报文上送DHCP报文处理单元的最大允许速率为10pps。

[SwitchC] dhcp snooping check dhcp-rate enable

[SwitchC] dhcp snooping check dhcp-rate 10

7.配置接口允许接入的最大用户数。

[SwitchC] interface gigabitethernet 0/0/1

[SwitchC-GigabitEthernet0/0/1] dhcp snooping max-user-number 2

8.配置丢弃报文告警和报文限速告警功能。

使能丢弃报文告警功能，并配置丢弃报文告警阈值。以GE0/0/1接口为例，GE0/0/2的配置相同

[SwitchC] interface gigabitethernet 0/0/1

[SwitchC] dhcp snooping alarm dhcp-rate enable

[SwitchC] dhcp snooping alarm dhcp-rate threshold 10

[SwitchC] dhcp snooping check user-bind enable

[SwitchC] dhcp snooping check mac-address enable 使能检查DHCPRequest报文头中MAC地址的功能

验证配置结果

display dhcp snooping configuration 查看DHCP Snooping的配置信息。

display dhcp snooping interface 查看接口下的DHCP Snooping运行信息。

reset dhcpsnooping user-bind vlan | interface | * 复位DHCPSnooping绑定表

dhcp snoopinguser-bind autosave file-name 备份DHCPSnooping绑定表。

arp anti-attackcheck user-bind enable

arp anti-attackcheck user-bind alarm enable

arp anti-attackcheck user-bind alarm threshold 10

arp anti-attackcheck user-bind check-item mac-address

ip source checkuser-bind enable 启用ip源防护

ip source checkuser-bind check-item { ip-address |mac-address | vlan }* 配置IP报文检查项

ip source checkuser-bind alarm enable 使能IP报文检查告警功能。

ip source checkuser-bind alarm threshold threshold 配置IP报文检查告警阈值缺省100。

四、注意事项

1、配置DHCP SNOOPING之前，设备首先要开启DHCP服务；

2、DHCP SNOOPING 主要适用在接入交换机上，如果在汇聚交换机上开启此服务可能达不到预期效果。

END