华为交换机DHCPsnooping配置教程

1、华为交换机DHCP sn00ping 配置教程DHCP Snooping 是一种DHCP安全特性，在配置 DHCP Snooping 各安 全功能之前需首先使能DHC P Snooping 功能。使能DHCP Snooping 功能的顺序是先使能全局下的 DHCP Snooping 功能,图1配置DHCP Snooping 基本功能组网图如上图1所示，Switch_1是二层接入设备，将用户PC的DHCP请求转发给DHCP服务器。以Switch_1为例，在使能DHCP Snooping 功能时需要注意:使能DHCP Snooping 功能之前，必须已使用命令dhcp enable 使能了设备 的

2、DHCP功能。全局使能DHCP Snooping 功能后，还需要在连接用户的接口（如图中的接 口 if1、if2 和 if3）或其所属 VLAN （如图中的 VLAN 10）使能 DHCP Snooping功能。当存在多个用户PC属于同一个VLAN时，为了简化配置，可以在这个VLAN请在二层网络中的接入设备或第一个 DHCP Relay上执行以下步骤。使能 DHCP Snooping 功能。1、使能 DHCP Snooping 功能#使能设备在VPLS网络中的Huaweidhc p snooping en able ?ipv4DHC Pv4 Snoopingipv6DHC Pv6 Snoopi

3、ngvla nVirtual LANHuaweidhc p snooping over- vpls en ableDHC P Snooping 功能Huawei-vla n2dhc p snooping en ableHuawei-GigabitEthernet0/0/3dhc p snooping en able2、配置接口信任状态 Huawei-GigabitEthernet0/0/2dhc p snooping trustedHuawei-vla n3dhc psnooping trusted in terface GigabitEther net 0/0/63、去使能DHCP Snoo

4、ping用户位置迁移功能在移动应用场景中，若某一用户由接口 A上线后，切换到接口 B重新上线,用户将发送DHCP Discover报文申请IP地址。缺省情况下设备使能DHCP Snooping功能之后将允许该用户上线，并刷新DHC P Sn oo ping 绑定表。但是在某些场景中，这样的处理方式存在安全风险，比如网络中存在攻击者仿 冒合法用户发送DHCP Discover报文，最终导致DHCP Snooping 绑定表被刷新，合法用户网络访问中断。此时需要去使能DHCP Snooping用户位置迁移功能，丢弃DHCP Snooping绑定表中已存在的用户（用户MAC信息存在于DHCP Sno

5、oping 绑定表中）从其他接口发送来的 DHCP Discover报文。Huaweiu ndo dhc p snooping user-tra nsfer en able4、配置ARP与DHCP Snooping的联动功能DHCP Snooping 设备在收至U DHCP用户发出的DHCP Release报文时将会删除该用户对应的绑定表项，但若用户发生了异常下线而无法发出DHCPRelease报文时，DHCP Snooping设备将不能够及时的删除该 DHCP用户对应的绑定表。使能ARP与DHCP Snooping 的联动功能，如果 DHCP Snooping 表项中 的IP地址对应的ARP

6、表项达到老化时间，则 DHCP Snooping 设备会对该IP 地址进行ARP探测，如果在规定的探测次数内探测不到用户，设备将删除用户 对应的ARP表项。之后，设备将会再次按规定的探测次数对该IP地址进行ARP 探测，如果最后仍不能够探测到用户，则设备将会删除该用户对应的绑定表项。能。Huaweiar p dhc p-snoopin g-detect en able5、配置用户下线后及时清除对应 MAC表项功能当某一 DHCP用户下线时，设备上其对应的动态 MAC表项还未达到老化时间，则设备在接收到来自网络侧以该用户 IP地址为目的地址的报文时，将继续根据动态MAC表项转发此报文。这种无效的

7、报文处理在一定程度上将会降低设备的性能。设备在接收到DHCP用户下线时发送DHCP Release报文后，将会立刻删除用户对应的DHCP Snooping 绑定表项。利用这种特性，使能当 DHCPSnooping动态表项清除时移除对应用户的 MAC表项功能，则当用户下线时,设备将会及时的移除用户的 MAC表项。Huaweidhc p snooping user-offl ine remove mac-address6、配置丢弃GIADDR字段非零的DHCP报文DHCP 报文中的 GIADDR (Gateway Ip Address )字段记录了 DHCP 报文 经过的第一个DHCP Relay

8、的IP地址，当客户端发出DHCP请求时，如果服务器和客户端不在同一个网段，那么第一个 DHCP Relay在将DHCP请求报文转发给DHCP服务器时，会把自己的IP地址填入此字段，DHCP服务器会根据此 字段来判断出客户端所在的网段地址， 从而选择合适的地址池，为客户端分配该 网段的IP地址。GIAOORHOPS0.0 0 00DHCP 眄uMVLAMF100GSAODHHOPS172 lie q i1DHCP R啊皿自GIAODf41 HOPS, IlWil2DHCP RaquelminmetDHCP ClitinlDttCP RMaylDHCP Mas由说DHCP SHT图1多DHCP中继

9、场景下DHCP报文处理流程（以DHCP Request报文为例）如上图1所示，在为了保证设备在生成 DHC P Snooping绑定表时能够获取到用户MAC等参数，DHCP Snooping功能需应用于二层网络中的接入设备或第一个DHCP Relay上（如图中的 DHCP Relayl 设备）。故DHCP Snooping 设备接收到的DHCP报文中GIADDR字段必然为零,若不为零则该报文为非法报文，设备需丢弃此类报文。在DHCP中继使能DHCPSnooping场景中，建议配置该功能。通常情况下，PC发出的DHCP报文中GIADDR字段为零。在某些情况下,PC发出的DHCP报文中GIADDR

10、字段不为零，可能导致 DHCP服务器分配错误的IP地址。为了防止PC用户伪造GIADDR字段不为零的DHCP报文申请IP地址，建议配置该功能。Huaweidhc p snooping check dhc p-giaddr en able vla n ?INTEGERv1-4094 Virtual LAN IDHuawei-vla n5dhc p snooping check dhc p-giaddr en ablecheck dhc p-giaddrHuawei-GigabitEthernet0/0/2dhc p snooping en able7、使能DHCP Server探测功能在使能DH

11、CP Sn00ping 功能并配置了接口的信任状态之后，设备将能够保 证客户端从合法的服务器获取IP地址，这将能够有效的防止DHCP Server仿冒者攻击。但是此时却不能够定位DHCP Server仿冒者的位置，使得网络中仍然存在着安全隐患。通过配置DHCP Server探测功能，DHCP Snooping 设备将会检查并在日志 中记录所有DHCP回应报文中携带的DHCP Server地址与接口等信息，此后网络管理员可根据日志来判定网络中是否存在伪DHCP Server进而对网络进行维护。Huaweidhc p server detect8、防止DHCP报文泛洪攻击在DHCP网络环境中，若存

12、在DHCP用户短时间内向设备发送大量的 DHCP报文，将会对设备的性能造成巨大的冲击以致可能会导致设备无法正常工作。通 过使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能将能够有效 防止DHCP报文泛洪攻击。#接口视图下命8.1、使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能 Huawei-vla n3dhc p snooping check dhc p-rate en able令一样Huaweidhc p snoopingcheck dhc p-rate en able ?INTEGERv1-100 Rate value (Un it: pps)alarmAlarm

13、via nVirtual LAN8.2、DHCP报文上送DHCP报文处理单元的最大允许速率Huawei-vla n3dhc p snooping check dhc p-rate ?INTEGER Rate value (Un it: pps)en ableEn ableHuawei-vla n3dhc p snooping check dhc p-rate 808.3、使能当丢弃的DHCP报文数达到告警阈值时的告警功能 Huawei-GigabitEthernet0/0/2dhc p snooping alarm dhc p-rate en able8.4、配置接口下被丢弃的DHCP报文的告

14、警阈值alarm dhc p-rateHuawei-GigabitEthernet0/0/2dhc p snooping threshold ?INTEGERv1-1000 Threshold value (Un it: packets)9、防止仿冒DHCP报文攻击在DHCP网络环境中，若攻击者仿冒合法用户的 DHCP Request报文发往DHCP Server，将会导致用户的IP地址租约到期之后不能够及时释放，以致合法用户无法使用该IP地址；若攻击者仿冒合法用户的 DHCP Release报文发往DHCP Server，将会导致用户异常下线。在生成DHCP Snooping 绑定表后，设备

15、可根据绑定表项，对DHCP Request报文或DHCP Release报文进行匹配检查，只有匹配成功的报文设备才将其转发，否则将丢弃。这将能有效的防止非法用户通过发送伪造DHCP Request或DHCP Release报文冒充合法用户续租或释放IP地址。9.1、使能对从指定VLAN内上送的DHCP报文进行绑定表匹配检查的功能9.3、DHCP Snooping 丢弃报文数量的告警阈值。Huaweidhc p snooping check dhc p-request en able vla n ?INTEGERv1-4094 Virtual LAN IDHuawei-GigabitEther

16、net0/0/2dhc p snooping check dhc p-request en able9.2、使能与绑定表不匹配而被丢弃的 DHCP报文数达到阈值时的DHCPSnooping告警功能 Huawei-GigabitEthernet0/0/2dhc p snooping alarm dhc p-request en ableHuaweidhc p snooping alarm threshold ?INTEGERv1-1000 Threshold value (Un it: packets)9.4、与绑定表不匹配而被丢弃的 DHCP报文的告警阈值dhc p-requestHuawei

17、-GigabitEthemet0/0/2dhc p snooping alarm threshold ?INTEGERv1-1000 Threshold value (Un it: packets)10、防止DHCP Server 服务拒绝攻击若在网络中存在DHCP用户恶意申请IP地址，将会导致IP地址池中的IP地址快速耗尽以致DHCP Server无法为其他合法用户分配IP地址。另一方面，DHCP Server 通常仅根据 CHADDR (client hardware address客户端硬件地址）字段来确认客户端的 MAC地址。如果攻击者通过不断改变DHCP Request报文中的CHA

18、DDR字段向DHCP Server申请IP地址，将会导致DHCP Server上的地址池被耗尽，从而无法为其他正常用户提供IP地址。为了防止某些端口的DHCP用户恶意申请IP地址，可配置接口允许学习的DHCP Snooping 绑定表项的最大个数来控制上线用户的个数，当用户数达到该值时，则任何用户将无法通过此接口成功申请到IP地址。为了防止攻击者不断改变DHCP Request报文中的CHADDR字段进行攻击,可使能检测DHCP Request报文帧头MAC地址与DHCP数据区中CHADDR字段是否相同的功能，相同则转发报文，否则丢弃。10.1、设备允许学习的DHCP Snooping 绑定表

19、项的最大个数Huaweidhc p snooping max-user- nu mber ?INTEGERv1-1024 Max user number valueHuaweidhc p snooping max-user- nu mber 20 ?via n Virtual LANHuaweidhc p snooping max-user- nu mber 20 via n ?INTEGERv1-4094 Virtual LAN IDHuawei-GigabitEthernet0/0/2dhc p snooping max-user- nu mber ?INTEGER Max user nu

20、mber value10.2、DHCP Snooping 绑定表的告警阈值百分比Huawei dhcp snooping user-alarmp erce ntage p erce nt-lower-valuep erce nt-upp er-vaiue10.3、接口允许学习的DHCP Snooping 绑定表项的最大个数。Huawei-GigabitEthernet0/0/2dhc p snooping max-user- nu mber ?INTEGER Max user number valueHuawei-via n2dhc p snooping max-user- nu mber ?

21、INTEGER Max user number value10.4、使能检测DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段是否一致功能Huaweidhc p snoopingcheck dhc p-chaddr en able via n ?INTEGERv1-4094 Virtual LAN IDHuawei-GigabitEther net0/0/2dhc p snooping check dhc p-chaddr en able ?alarm AlarmHuawei-vla n2dhc psnoopingcheck dhc p-chaddr en able10.

22、5、帧头MAC地址与DHCP数据区中CHADDR字段不匹配而被丢弃的DHCP报文的告警阈值 Huawei-GigabitEthernet0/0/2dhc p snooping alarm dhc p-chaddr threshold ?INTEGERv1-1000 Threshold value (Un it: packets)11、在DHCP报文中添加Option82 字段为使DHCP Server能够获取到DHCP用户的精确物理位置信息，可在DHCP报文中添加Option82字段。Option82 选项记录了 DHCP Client的位置信息。设备通过在DHCP请求报文中添加 Option

23、82 选项，可将DHCP Client的位置信息发送给DHCP Server，从而使得DHCP Server能够根据Option82 选项的内容为DHCP Client分配合适的IP地址和其他配置信息，并可以实现对客户端的安全控制。DHCP Option82 必须配置在设备的用户侧，否则设备向DHCP Server发出的DHCP报文不会携带Option82 选项内容。11.1、在DHCP报文中添加Option82 选项功能Huawei-vla n6dhc pop tio n82 ?in sertInsert op ti on82 into DHC P p ackets#插入rebuildReb

24、uild op tio n82 in the DHC P p ackets#重建Huawei-vla n6dhc pop ti on82 insert ?en able En ableHuawei-GigabitEthernet0/0/2dhc p op tio n82 ?circuit-idDHC P op tio n82 sub-o ptio n Circuit IDformatThe format of DHC P op tio n82in sertIn sert op tio n82 into DHC P p acketsrebuildRebuild op tio n82 in the

25、 DHC P p acketsremote-idDHC P op ti on82 sub-op ti on RemoteIDcom monCom mon format. Circuit-ID:%ift ypevia nVirtual LANHuawei-GigabitEthemet0/0/2dhc p op tio n82 rebuild ?en able En able11.2、配置Option82 选项的格式Huawei-GigabitEthernet0/0/2dhc p op tio n82 vlan 3 circuit-id format ?com monCom mon format.Circuit-ID:%ifty pe%slot/%subslot/% port:%svla n. %cvla n %sys name