华为S3700 DHCP Snooping配置.docx

1.S3700 DHCP Snooping 配置1.1配置防止DHCP Server 仿冒者的攻击防止DHCP Server 仿冒者攻击的基本配置过程，包括配置信任接口、配置DHCPReply 报文丢弃告警功能。#dhcp enabledhcp snooping enabledhcp server detect#interface GigabitEthernet0/0/1dhcp snooping enabledhcp snooping trusted#interface GigabitEthernet0/0/2dhcp snooping enabledhcp snooping alarm untrust-reply enabledhcp snooping alarm untrust-reply threshold 120在端口下配置dhcp snooping 后默认成为untrusted端口1.2配置防止改变CHADDR 值的DoS 攻击示例如果攻击者改变的不是数据帧头部的源MAC，而是通过改变DHCP 报文中的CHADDR（Client Hardware Address）值来不断申请IP 地址，而S3700 仅根据数据帧头部的源MAC来判断该报文是否合法，那么MAC 地址限制不能完全起作用，这样的攻击报文还是可以被正常转发。为了避免受到攻击者改变CHADDR 值的攻击，可以在S3700 上配置DHCP Snooping 功能，检查DHCP Request 报文中CHADDR 字段。如果该字段跟数据帧头部的源MAC 相匹配，转发报文；否则，丢弃报文Switch 应用在用户网络和ISP 的二层网络之间，为防止攻击者通过改变CHADDR 值进行DoS 攻击，要求在Switch 上应用DHCP Snooping 功能。检查DHCPRequest 报文中CHADDR 字段，如果该字段跟数据帧头部的源MAC 相匹配，便转发报文；否则丢弃报文。同时使能丢弃报文告警功能。 #dhcp enabledhcp snooping enable#interface GigabitEthernet0/0/1dhcp snooping enabledhcp snooping trusted#interface GigabitEthernet0/0/2dhcp snooping enabledhcp snooping check mac-address enable#return1.3配置防止仿冒DHCP 续租报文攻击示例Switch 应用在用户网络和ISP 的二层网络之间。为防止攻击者仿冒DHCP续租报文，要求在Switch 上应用DHCP Snooping 功能，建立DHCP Snooping 绑定表，检查接收到的DHCP Request 报文，只有和绑定表中的内容一致的报文才被转发，否则将被丢弃。同时使能丢弃报文告警功能。#dhcp enabledhcp snooping enable#interface GigabitEthernet0/0/1dhcp snooping enabledhcp snooping trusted#interface GigabitEthernet0/0/2dhcp snooping enabledhcp snooping alarm user-bind enable#return1.4 配置限制DHCP 报文上送速率示例当网络中存在攻击者通过大量发送DHCP Request 或Reply 报文进行攻击时，会造成Switch 处理资源紧张，合法用户的请求得不到及时处理。如图3-6 所示，为了防止大量发送DHCP 报文的攻击，需要在Switch 上配置DHCP Snooping 功能，控制DHCP 报文的上送速率，同时使能报文限速告警功能。S3700_DHCP_Snooping#dhcp enabledhcp snooping enable#interface GigabitEthernet0/0/1dhcp snooping enabledhcp snooping trusted#interface GigabitEthernet0/0/2dhcp snooping enabledhcp snooping alarm user-bind enable#return单位是PPS1.5配置option 82功能使能Option82 功能，可以根据Option82 信息建立精确到接口的绑定表。从而避免DHCPServer 仿冒者回应给DHCP Client 仿冒信息1.5.1 接口视图下的配置步骤如下1. 执行命令system-view，进入系统视图。2. 执行命令interface interface-type interface-number，进入接口视图。该接口为用户侧接口。3. 执行命令dhcp option82 insert enable，使能Option82 功能；或者执行命令dhcp option82 rebuild enable，使能强制插入Option82 功能。 配置dhcp option82 insert enable 后，如果原来的DHCP 报文中没有Option82 选项，则在DHCP 报文中插入Option82 选项；如果原来的DHCP报文中有Option82 选项，则判断原选项是否有Remote-id，如果有则不处理；如果没有，则插入Remote-id，Remote-id 的内容默认为本设备的MAC地址。 配置dhcp option82 rebuild enable 后，如果原来的DHCP 报文中没有Option82 选项，则在DHCP 报文中插入Option82 选项；如果原来的DHCP报文中有Option82 选项，则删除DHCP 报文中原来的Option82 选项，插入新的Option82 选项。1.5.2 VLAN视图下配置1. 执行命令system-view，进入系统视图。2. 执行命令vlan vlan-id，进入VLAN 视图。3. 执行命令dhcp option82 insert enable interface interface-name | interface-type interface-number to interface-number ，使能Option82 功能；或者执行命令dhcp option82 rebuild enable interface interface-name | interface-type interfacenumber to interface-number ，使能强制插入Option82 功能。如果需要指定接口，需要保证该接口在步骤2 的VLAN 中。 配置dhcp option82 insert enable interface interface-name | interface-typ interface-number to interface-number 后，如果原来的DHCP 报文中没有Option82 选项，则在DHCP 报文中插入Option82 选项；如果原来的DHCP报文中有Option82 选项，则判断原选项是否有Remote-id，如果有则不处理；如果没有，则插入Remote-id，Remote-id 的内容默认为本设备的MAC地址。 配置dhcp option82 rebuild enable interface interface-type interface-number to interface-number 后，如果原来的DHCP 报文中没有Option82 选项，则在DHCP 报文中插入Option82 选项；如果原来的DHCP 报文中有Option82选项，则删除DHCP 报文中原来的Option82 选项，插入新的Option82 选项。1.6配置用户数目限制为了防止非法用户恶意申请IP 地址，造成合法用户无法接入，可以配置接入用户数限制。步骤1 执行命令system-view，进入系统视图。步骤2 执行命令dhcp snooping max-user-number max-user-number，配置全局允许接入的最大用户总数。缺省情况下，S3700 所有接口允许接入的最大用户总数为512。步骤3 执行命令interface interface-type interface-number，进入接口视图。或者执行命令vlan vlan-id，进入VLAN 视图。步骤4 执行命令dhcp snooping max-user-number max-user-number，配置接口或VLAN 下允许接入的最大用户数。缺省情况下，S3700 接口或VLAN 下允许接入的最大用户数为1024。如果同时在接口、VLAN 或全局配置了允许接入用户的最大数，它们共同生效。1.7综合配置举例介绍二层网络中应用DHCP Snooping 的基本配置过程，包括配置信任接口、配置对DHCP报文的检查功能、配置DHCP 报文上送速率限制和配置Option82 功能等。 如图3-7 所示，DHCP Client 通过VLAN10 接入Switch。其中DHCP Client1 使用动态分配的IP 地址；DHCP Client2 使用静态分配的IP 地址。要求在Switch 的用户侧接口Ethernet0/0/1 和Ethernet0/0/2 上配置DHCP Snooping 功能，以防止以下类型的攻击：1.DHCP Server 仿冒者攻击2.改变CHADDR 值的DoS 攻击3.仿冒DHCP 续租报文攻击4.大量发送DHCP 请求报文 #dhcp enabledhcp snooping enabledhcp snooping check dhcp-rate enabledhcp snooping check dhcp-rate 90 /对应第四点要求#user-bind static ip-address 10.1.1.1 mac-address 0001-0002-0003 interface Ethernet 0/0/2 vlan 10#interface Ethernet0/0/1dhcp snooping enabledhcp snooping alarm untrust-reply enable threshold 120 /报文警告功能dhcp snooping check mac-address enabledhcp snooping check user-bind enabledhcp option82 insert enable#interface Ethernet0/0/2dhcp snooping enabledhcp snooping alarm untrust-reply enable threshold 120dhcp snooping check mac-address enabledhcp snooping check user-bind enabledhcp option82 insert enable#interface GigabitEthernet0/0/1dhcp snooping enabledhcp snooping trusted#return除了check rate其余都在接口下配置1.8维护DHCP Snoopingl 使用命令reset dhcp snooping statistics 清除全局的报文丢弃统计计数。l 使用命令reset dhcp snooping statistics interface inter