交换机关键技术DHCPISGPPT课件.ppt

交换机关键技术讲座 二 DHCPSpooning IPSourceGuard 2011年11月8日 yn 1 2020 3 21 2 H3C三层交换机说明 二层接口物理接口 以太网端口三层接口虚拟接口 VLAN接口 与Cisco三层交换机不同 H3C三层交换机的三层接口只能是虚拟的VLAN接口 物理的以太网接口不能工作为三层接口 2020 3 21 3 1 DHCPSpooning DHCPDHCPSnooping 2020 3 21 4 1 1DHCP DHCP基本原理DHCP服务器配置H3C三层设备 三层交换机 路由器 2020 3 21 5 1 1 1DHCP基本原理 DHCP客户端和服务器在同一IP子网内DHCP客户端和服务器在不同IP子网中 DHCP中继 2020 3 21 6 DHCP客户端和服务器在同一IP子网内 报文中有客户MAC地址 报文中有服务器IP地址 报文中有客户MAC地址 通常接受第一个Offer 2020 3 21 7 DHCP客户端和服务器在不同IP子网中 配置DHCP服务器IP地址 2020 3 21 8 1 1 2DHCP服务器配置 必选配置任务配置DHCP服务器的地址池普通模式 扩展模式使能DHCP服务缺省 DHCP服务关闭配置三层接口工作在DHCP服务器模式缺省 使能DHCP服务后 接口工作在DHCP服务器模式配置接口引用扩展模式的地址池 仅在使用扩展模式地址池时缺省 接口没引用扩展模式地址池 从普通模式地址池中分配 2020 3 21 9 DHCP地址池 获取客户端ID 客户设备通过DHCP成功获取IP地址后 在DHCP服务器上用displaydhcpserverip in use命令显示地址绑定信息 从中获取客户设备的客户端ID 地址租用期限 无限期 2020 3 21 10 普通模式地址池结构 树状结构 继承子地址池继承父地址池的已有配置对父的新配置项子无该项配置 继承父的配置子有该项配置 不继承父的配置IP地址租期不具有继承关系扩展地址池无父子及继承关系 自然网段A的子网1的动态地址池 自然网段A的子网N的动态地址池 自然网段A的动态地址池 子网X内的客户端Xn的静态地址池 子网X内的客户端X1的静态地址池 2020 3 21 11 DHCP地址池选取原则 普通模式静态绑定 扩展模式 普通模式动态分配 无静态绑定地址池 且收到DHCP请求报文的接口引用了扩展模式地址池 无静态绑定地址池 且收到DHCP请求报文的接口没有引用扩展模式地址池 分配失败 地址池中没有可供分配的IP地址 子地址池 2020 3 21 12 DHCP服务器显示和维护 显示或清除DHCP地址池中的地址绑定信息 display reset dhcpserverip in use all ipip address poolpool name 显示DHCP地址池的可用地址信息displaydhcpserverfree ip显示DHCP地址池中不参与自动分配的IP地址displaydhcpserverip in use all ipip address poolpool name 显示DHCP地址池的树状结构信息displaydhcpservertree all poolpool name 显示或清除DHCP的地址冲突统计信息 display reset dhcpserverconflict all ipip address 显示或清除DHCP服务器的统计信息 display reset dhcpserverstatistics 2020 3 21 13 DHCP服务器配置示例 拓扑 要求 要求VLAN10网关 掩码 10 1 10 1 24租期 1天VLAN20网关 掩码 10 1 20 1 24租期 2天Server 动态获取固定IP地址IP地址 10 1 20 254客户端ID XXXX YYYYPC2 手工配置IP地址IP地址 10 1 20 2DNS服务器10 1 1 1 172 16 1 1 H3C三层交换机DHCP服务器 PC1 Server H3C二层交换机 PC2 VLAN10 VLAN20 SWA SWB 2020 3 21 14 DHCP服务器配置示例 SWA配置 一 配置接口IP地址 使能DHCP服务system view SWA dhcpenable SWA interfacevlan interface10 SWA Vlan interface10 ipaddress10 1 10 124 SWA Vlan interface10 dhcpselectserverglobal pool SWA Vlan interface10 quit SWA interfacevlan interface20 SWA Vlan interface20 ipaddress10 1 20 124 SWA Vlan interface20 quit SWA 2020 3 21 15 DHCP服务器配置示例 SWA配置 二 为两个VLAN中的PC配置普通模式动态地址池 SWA dhcpserverip poolvlan10 SWA dhcp pool vlan10 network10 1 10 024 SWA dhcp pool vlan10 gateway list10 1 10 1 SWA dhcp pool vlan10 dns list10 1 1 1172 16 1 1 SWA dhcp pool vlan10 quit SWA dhcpserverip poolvlan20 SWA dhcp pool vlan20 network10 1 20 0mask255 255 255 0 SWA dhcp pool vlan20 gateway list10 1 20 1 SWA dhcp pool vlan20 dns list10 1 1 1172 16 1 1 SWA dhcp pool vlan20 expiredday2 SWA dhcp pool vlan20 quit SWA dhcpserverforbidden ip10 1 20 2 2020 3 21 16 DHCP服务器配置示例 SWA配置 三 为VLAN20中的Server配置普通模式静态地址池 SWA dhcpserverip poolServer SWA dhcp pool Server static bindip address10 1 20 25424 SWA dhcp pool Server static bindclient identifierXXXX YYYY SWA dhcp pool Server quit SWA 说明静态池vlan20S的网关和DNS地址直接继承于父地址池vlan20租期不具有继承关系 静态池vlan20S的租期是无限期 其父地址池vlan20的租期是2天除以下地址外 动态地址池中的所有IP地址都参与自动分配DHCP服务器接口的IP地址 通常即为网关地址静态子地址池中的IP地址dhcpserverforbidden ip命令排除的IP地址 2020 3 21 17 1 2DHCPSpooning DHCPSnooping基本原理配置DHCPSnoopingH3C二层交换机 2020 3 21 18 1 2 1DHCPSpooning基本原理 保证客户端从合法的服务器获取IP地址信任端口 正常转发接收到的DHCP报文连接DHCP服务器和其他DHCPSnooping设备的二层端口不信任端口 丢弃接收到的DHCP ACK和DHCP Offer报文连接客户端或伪DHCP服务器的二层端口记录DHCP客户端IP地址与MAC地址的对应关系监听DHCP Request和信任端口的DHCP ACK报文 记录 客户端MAC 获得的IP地址 连接客户端的端口及其所属VLAN 实现ARPDetection 检查ARP报文有效性 防止ARP攻击IPSourceGuard 过滤端口收到的报文 防止非法报文通过 2020 3 21 19 典型应用 连接DHCP服务器 2020 3 21 20 典型应用 DHCPSnooping级联网络 DHCPSnooping表项无自动老化清除功能 即使表中某客户端已释放IP地址 表项依旧存在 仅在与客户端直连的DHCPSnooping设备上记录绑定信息 2020 3 21 21 1 2 2配置DHCPSnooping 必选配置任务 DHCPSnooping基本功能使能DHCPSnooping功能缺省 DHCPSnooping功能关闭配置信任端口缺省 使能DHCPSnooping后 端口均为不信任端口可选配置任务配置防止DHCP饿死攻击配置防止伪造DHCP续约报文攻击配置DHCPSnooping报文限速功能 2020 3 21 22 配置防止DHCP饿死攻击 DHCP饿死攻击攻击者伪造含有不同客户端MAC地址的DHCP请求报文 导致DHCP地址池中的地址耗尽 合法的DHCP客户端获取不到IP地址或DHCP服务器消耗过多的系统资源 无法处理正常业务解决方案 DHCPSnooping的MAC地址检查功能DHCPSnooping设备检查接收到的DHCP请求报文中的客户端MAC地址和数据帧的源MAC地址是否一致一致 转发给DHCP服务器不一致 丢弃该报文缺省 关闭DHCPSnooping的MAC地址检查功能在DHCPSnooping设备连接客户端的端口上配置启用该功能命令 dhcp snoopingcheckmac address 2020 3 21 23 配置防止伪造DHCP续约报文攻击 伪造DHCP续约报文攻击攻击者冒充合法的DHCP客户端 发送伪造的DHCP续约报文导致 DHCP服务器和DHCP客户端无法及时释放IP地址租约攻击者冒充不同的DHCP客户端发送大量伪造的DHCP续约报文导致 大量IP地址被长时间占用 DHCP服务器没有足够的可分配地址解决方案 DHCPSnooping的DHCPRequest报文检查功能DHCPSnooping设备检查本地是否存在与收到的DHCPRequest报文匹配的DHCPSnooping表项存在 信息一致 转发给DHCP服务器存在 信息不一致 丢弃该报文不存在 转发给DHCP服务器缺省 关闭DHCPSnooping的DHCPRequest报文检查功能在DHCPSnooping设备连接客户端的端口上配置启用该功能命令 dhcp snoopingcheckrequest message 2020 3 21 24 配置DHCPSnooping报文限速功能 DHCPSnooping报文限速功能限制接口接收DHCP报文的速率 避免非法用户发送大量DHCP报文 对网络造成攻击当接口接收的DHCP报文速率超过限制的最高速率时 DHCPSnooping设备将丢弃超过速率限制的报文缺省 关闭DHCPSnooping的报文限速功能在DHCPSnooping设备连接客户端的端口上配置使用该功能命令 dhcp snoopingrate limitrate 2020 3 21 25 DHCPSnooping显示和维护 显示信任端口信息displaydhcp snoopingtrust显示DHCPSnooping的表项信息displaydhcp snooping ipip address 清除DHCPSnooping的表项信息resetdhcp snooping all ipip address 显示或清除DHCPSnooping设备上的DHCP报文统计信息 display reset dhcp snoopingpacketstatistics DHCPSnooping表项没有自动老化清除功能 即使表中记录的某DHCP用户已释放了IP地址 该表项依旧存在 2020 3 21 26 DHCPSnooping配置示例 要求保证从合法DHCP服务器SWA获取IP地址配置思路将SWB配置成DHCPSnooping设备将SWB的g1 1口配置成信任端口配置SWBsystem view SWB dhcp snooping SWB interfaceEthernet1 1 SWB Ethernet1 1 dhcp snoopingtrust SWB Ethernet1 1 quit SWB H3C三层交换机DHCP服务器 PC1 伪DHCP服务器 H3C二层交换机 PC2 VLAN10 VLAN20 SWA SWB e1 1 e1 11 e1 21 e1 22 2020 3 21 27 2 IPSourceGuard 基本原理配置H3C二层交换机 2020 3 21 28 2 1IPSourceGuard基本原理 IPSourceGuard ISG IP源防护 对二层端口收到的报文进行过滤控制过滤报文的特征项源IP 源MAC 源IP 源MACISG绑定表项过滤特征项与ISG端口的绑定操作配置ISG的端口 收到报文后查找ISG绑定表项有匹配项 转发该报文无匹配项 丢弃处理没有配置ISG的端口 不受ISG绑定影响 2020 3 21 29 ISG绑定表项 静态绑定表项手工配置产生适用于局域网中主机数较少 且使用静态配置IP地址类型全局 IP MAC 设备的所有端口上生效端口 IP MAC IP MAC 配置端口上生效动态绑定表项根据DHCPSnooping表项或DHCPRelay表项动态生成适用于局域网中主机数较多 且采用DHCP动态获取IP地址 2020 3 21 30 2 2IPSourceGuard配置 配置静态绑定表项全局或端口静态绑定表项必须与端口上的ISG动态绑定功能配置使用新添加的静态表项覆盖相同内容的已有动态表项优先匹配顺序 端口静态 动态 全局静态缺省 无全局或端口静态绑定表项配置二层端口上的动态绑定功能缺省 端口上的动态绑定功能关闭配置绑定表项数目的最大值静态绑定表项和动态绑定表项的数量总和缺省 640 2020 3 21 31 IPSourceGuard显示和维护 显示静态绑定表项信息displayipsourcebindingstatic interfaceinterface typeinterface number ip addressip address mac addressmac address 显示绑定表项信息displayipsourcebinding interfaceinterface typeinterface number ip addressip address mac addressmac address 2020 3 21 32 IPSourceGuard配置示例一 要求 所有PC保证从合法DHCP服务器SWA获取IP地址只允许动态获取IP地址的PC上网配置思路 要求1将SWB配置成DHCPSnooping设备将SWB的g1 1口配置成信任端口配置思路 要求2在SWB的e1 11和e1 21接口上配置IP MAC的ISG动态绑定功能 H3C三层交换机DHCP服务器 PC1 Server H3C二层交换机 PC2 VLAN10 VLAN20 SWA SWB e1 1 e1 11 e1 21 e1 22 2020 3 21 33 IPSourceGuard配置示例一 SWB配置 system view SWB dhcp snooping SWB interfaceEthernet1 1 SWB Ethernet1 1 dhcp snoopingtrust SWB Ethernet1 1 quit SWB interfaceEthernet1 11 SWB Ethernet1 11 ipverifysourceip addressmac address SWB Ethernet1 11 quit SWB interfaceEthernet1 21 SWB Ethernet1 21 ipverifysourceip addressmac address SWB Ethernet1 21 quit SWB 2020 3 21 34 IPSourceGuard配置示例二 要求 在示例一的基础上保证合法Server使用固定IP上网配置思路 在示例一的基础上方案一Server DHCP动态获取IPSWA 配置对Server的静态绑定地址池SWB e1 22接口上配置IP MAC的ISG动态绑定功能方案二Server 手工配置IP地址SWB e1 22接口上配置IP MAC的ISG动态绑定功能SWB e1 22接口上配置Server的I