解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方

1、解决在 DHCP 环境下私自指定 IP 和私自搭建 DHCP 服务器的 方法网络管理员:现在用户真是不省心,自己改个 IP 地址;私接 AP 、忘关 DHCP ,还有的下个小黑客程序,就 想在你内网里试试。单靠交换机能管吗?测试工程师:能!很多交换机上的小功能都可帮大忙。测试实况:IP 与 MAC 绑定思科的 Catalyst 3560交换机支持 DHCP Snooping 功能,交换机会监听 DHCP 的过程,交换机会生成一 个 IP 和 MAC 地址对应表。思科的交换机更进一步的支持 IP source guard和 Dynamic ARP Inspection功 能,这两个功能任启一个都

2、可以自动的根据 DHCP Snooping监听获得的 IP 和 MAC 地址对应表,进行绑定, 防止私自更改地址。Dynamic ARP Inspection功能还有一个好处是可以防范在 2层网络的中间人攻击(见图 4。思科在 DHCP Snooping上还做了一些非常有益的扩展功能,比如 Catalyst 3560交换机可以限制端口 通过的 DHCP 数据包的速率,粒度是 pps ,这样可以防止对 DHCP 服务器的进行地址请求的 DoS 攻击。另外 Catalyst 3560交换机还支持 DHCP Tracker,在 DHCP 请求中插入交换机端口的 ID ,从而限制每个端口申 请的 IP

3、 地址数目, 防止黑客程序对 DHCP 服务器进行目的为耗尽 IP 地址池的攻击。 华硕虽然不能调整速率, 但是也会限制 DHCP 请求的数量。DHCP (动态主机配置协议 是一种简化主机 IP 地址配置管理的 TCP/IP标准。 该标准为 DHCP 服务器的使用 提供了一种有效的方法:即管理网络中客户机 IP 地址的动态分配以及启用网络上 DHCP 客户机的其它相关在基于 TCP /IP 协议的网络中, 每台计算机都必须有唯一的 IP 地址才能访问网络上的资源, 网络中计算机 之间的通信是通过 IP 地址来实现的,并且通过 IP 地址和子网掩码来标识主计算机及其所连接的子网。在 局域网中如果

4、计算机的数量比较少, 当然可以手动设置其 IP 地址, 但是如果在计算机的数量较多并且划分 了多个子网的情况下, 为计算机配置 IP 地址所涉及的管理员工作量和复杂性就会相当繁重, 而且容易出错, 如在实际使用过程中, 我们经常会遇到因 IP 地址冲突、 网关或 DNS 服务器地址的设置错误导致无法访问网 络、机器经常变动位置而不得不频繁地更换 IP 地址等问题。DHCP 则很好地解决了上述的问题,通过在网络上安装和配置 DHCP 服务器,启用了 DHCP 的客户机可在每次 启动并加入网络时自动地获得其上网所需的 IP 地址和相关的配置参数。 从而减少了配置管理, 提供了安全 而可靠的配置。配

5、置 DHCP 服务的服务器可以为每一个网络客户提供一个 IP 地址、子网掩码、缺省网关,以及 DNS 服务器 的地址。 DHCP 避免了因手工设置 IP 地址及子网掩码所产生的错误,也避免了把一个 IP 地址分配给多台主 机所造成的地址冲突。降低了 IP 地址管理员的设置负担,使用 DHCP 服务器可以大大地缩短配置网络中主 机所花费的时间。但是,随着 DHCP 服务的广泛应用,也产生了一些问题。首先, DHCP 服务允许在一个子网内存在多台 DHCP 服务器,这就意味着管理员无法保证客户端只能从管理员所设置的 DHCP 服务器中获取合法的 IP 地址,而 不从一些用户自建的非法 DHCP 服

6、务器中取得 IP 地址;其次,在部署 DHCP 服务的子网中,指定了合法的 IP 地址、掩码和网关的主机也可以正常地访问网络,而 DHCP 服务器却仍然会有可能将该地址分配给其他 主机,这样就会造成地址冲突,影响 IP 地址的正常分配。针对上述问题,本文给出了一个解决方案,即通过使用 Cisco 提供的 DHCP Snooping技术和 Dynamic ARP Inspection 技术,可以有效地防止以上问题的发生。这里首先对两种技术做一个简要的介绍,然后将给出一个应用实例加以说明。我校 1#学生公寓, PC 拥有数量大约 1000台。采用 DHCP 分配 IP 地址,拥有 4个 C 类地址

7、,实际可用地址 数约 1000个。由于楼内经常存在私开的 DHCP服务器,导致大量主机无法分配到合法 IP 地址;另外,由 于有相当数量的主机指定 IP 地址, 因此造成了与 DHCP 分配的 IP 地址冲突。 以上两方面,均造成了该公寓 楼大量主机无法正常访问网络。经过一段时间的分析、实验,我们决定对该公寓楼部署 DHCP Snooping 和 Dynamic ARP Inspection 两项技 术,以保证网络的正常运行。该公寓网络设备使用情况如下,接入层为台 Cisco 2950交换机上联至堆叠的 4台 Cisco 3750,再通 过光纤上联至汇聚层的 Cisco 3750交换机。同时汇

8、聚层的 Cisco 3750交换机还兼做 DHCP 服务器。部署过程首先按如下过程配置 DHCP Snooping1 configure terminal2 ip dhcp snooping 在全局模式下启用 DHCP Snooping3 ip dhcp snooping vlan 103 在 VLAN 103中启用 DHCP Snooping4 ip dhcp snooping information option Enable the switch to insert and remove DHCP relay information(option-82 field in forwarde

9、d DHCP request messages to the DHCP server. The default is enabled.5 interface GigabitEthernet1/0/28,进入交换机的第 28口6 ip dhcp snooping trust 将第 28口设置为受信任端口7 ip dhcp snooping limit rate 500 设置每秒钟处理 DHCP 数据包上限9 end 退出完成配置后,可用如下命令观察 DHCP Snooping运行状况:show ip dhcp snooping得到如下信息:Switch DHCP snooping is enab

10、ledDHCP snooping is configured on following VLANs:103Insertion of option 82 is enabledVerification of hwaddr field is enabledInterface Trusted Rate limit (pps- - -GigabitEthernet1/0/22 yes unlimitedGigabitEthernet1/0/24 yes unlimitedGigabitEthernet1/0/27 yes unlimitedGigabitEthernet1/0/28 no 500show

11、 ip dhcp snooping binding,得到如下信息:MacAddress IpAddress Lease(sec Type VLAN Interface- - - - -More-接下来配置 Dynamic ARP Inspection1 show cdp neighbors 检查交换机之间的连接情况Capability Codes: R - Router, T - Trans Bridge, B - Source Route BridgeS - Switch, H - Host, I - IGMP, r - Repeater, P - PhoneDevice ID Local

12、Intrfce Holdtme Capability Platform Port IDap Gig 1/0/23 149 T AIR-AP1230Fas 0hall-3750 Gig 1/0/27 135 S I WS-C3750-2Gig 1/0/11#west-3750 Gig 1/0/28 173 S I WS-C3750G-Gig 1/0/252 configure terminal 进入全局配置模式3 ip arp inspection vlan 103 在 VLAN 103上启用 Dynamic ARP Inspection4 interface GigabitEthernet1/

13、0/28 进入第 28端口5 ip arp inspection trust 将端口设置为受信任端口The switch does not check ARP packets that it receives from the other switch on the trusted interface. It simply forwards the packets.6 end配置完成后可以用如下命令观察 Dynamic ARP Inspection的运行情况show arp access-list acl-name Displays detailed information about ARP

14、 ACLs.show ip arp inspection interfaces interface-id Displays the trust state and the rate limit of ARP packets for the specified interface or all interfaces.Interface Trust State Rate (pps Burst Interval- - - -Gi1/0/21 Untrusted 15 1Gi1/0/22 Trusted None N/AGi1/0/23 Untrusted 15 1Gi1/0/24 Trusted N

15、one N/AGi1/0/25 Untrusted 15 1Gi1/0/26 Untrusted 15 1Gi1/0/27 Trusted None N/AGi1/0/28 Untrusted None N/Ashow ip arp inspection vlan vlan-range, Displays the configuration and the operating state of dynamic ARP inspection for all VLANs configured on the switch, for a specified VLAN, or for a range o

16、f VLANs.yql-2#-3750#sh ip arp inspection vlan 103Source Mac Validation : DisabledDestination Mac Validation : DisabledIP Address Validation : DisabledVlan Configuration Operation ACL Match Static ACL- - - - -103 Enabled ActiveVlan ACL Logging DHCP Logging- - -103 Deny Deny注意事项:DHCP Snoopingl 在配置 DHC

17、P Snooping以前,必须确认该设备作为 DHCP 服务器。l 建议对非信任端口的上限不要超过 100。对于被设置为受信任的 trunk 端口,需要适当增加Dynamic ARP Inspection必须限制 trunk 端口处理 ARP 包的数量五、一些问题的讨论在实际使用过程中我们发现,在配置完上述命令后, Cisco 3750交换机会在运行一段时间以后变得缓慢, CPU 利用率达到 100%,性能严重下降。经过分析我们发现,在开始应用 Dynamic ARP Inspection时,交 换机会记录大量的数据包,当端口通过的数据包过多时,交换机会认为遭受 DoS 攻击,从而将端口自动

18、errdisable ,造成通信中断。为了解决这个问题,我们需要加入命令 errdisable recovery causearp-inspection 。由于 Cisco 3750交换机能力有限, 因此我们建议在使用 Cisco 3750交换机配置上述命令时应逐级增大 port limit rate。六、小结DHCP 服务在网络中的广泛应用,极大地减轻了网络管理员的负担,方便了用户使用网络。但是由于有些用户私自指定 IP 地址, 造成了 IP 地址自动分配时引起的 IP 地址冲突, 进而影响其他用户的使用。 我们经过 实际测试,给出了上述解决方案,本方法不仅适合于 Cisco 的 3750交

19、换机,也适用于 Cisco 的 65系列交 换机。DHCP 防指定 IP 地址的方法在我校已经得到了成功的应用,经过实践检验,我们认为这是一个非常实用的 功能。在系统设置好以后,网络中的用户只有设置为自动获取 IP 地址才能上网,否则将无法上网。从而解 决了在使用 DHCP 的网络中,用户私自指定 IP 地址而带来的 IP 地址冲突问题。如果公司内网由于用户自行安装了 Windows Server版本的操作系统而小心启用了 DHCP 服务,或其他因素 在内网中出现了非授权的 DHCP 服务器,会给网络造成什么样的影响呢?DHCP server可以自动为用户设置网络 IP 地址、掩码、网关、 D

20、NS 、 WINS 等网络参数,简化了用户网络设 置,提高了管理效率。但是,此时如果服务器和客户端没有认证机制,网络上存在的非法的 DHCP 服务器将 会给部分主机的地址分配、网关及 DNS 参数照成混乱,导致主机无法连接到外部网络。出现这种情况,如 何解决这些问题呢?作为客户端计算机来说, 可以尝试使用 ipconfig /release释放获得的网络参数后, 然后用 ipconfig /renew重新尝试获取正确的 DHCP 服务器配置服务, 但这种方法很被动, 往往要十几次甚至几十次才偶尔有可能成 功一次,不能从根本解决问题。另外一个解决办法, 在 windows 系统组建的网络中, 如

21、果非法 DHCP 服务器也是用 Windows 系统建立的话我 们可以通过“域”的方式对非法 DHCP 服务器进行过滤。将合法的 DHCP 服务器添加到活动目录(Active Directory 中,通过这种认证方式就可以有效的制止非法 DHCP 服务器了。原理就是没有加入域中的 DHCP Server 在相应请求前,会向网络中的其他 DHCP Server发送 DHCPINFORM 查询包,如果其他 DHCP Server有响应,那么这个 DHCP Server 就不能对客户的要求作相应,也就是说网络中加入域的 DHCP 服务器的优先 级比没有加入域的 DHCP 服务器要高。这样当合法 DH

22、CP 存在时非法的就不起任何作用了。授权合法 DHCP 的过程如下:第一步:开始 -程序 -管理工具 -DHCP第二步:选择 DHCP root, 用鼠标右键单击,然后浏览选择需要认证的服务器。第三步:点“添加”按钮 , 输入要认证的 DHCP 服务器 IP 地址 , 完成授权操作。但是该方法只适用于非法 DHCP 服务器是 windows 系统, 需要用到域和活动目录, 配置较复杂, 另外对于非 Windows 的操作系统 , 就显得力不从心了。还有更好的方法,就是利用交换机的 DHCP 监听,通过建立和维护 DHCP Snooping绑定表过滤不可信任的 DHCP 信息,也就是过滤掉非法

23、DHCP 服务器向网络上发送的数据包。首先定义交换机上的信任端口和不信 任端口,将 DHCP服务器所连接的端口定义为信任端口,其它连接到普通客户端的端口全部定义为不信任 端口,对于不信任端口的 DHCP 报文进行截获和嗅探, drop 掉来自这些端口的非正常 DHCP 报文,从而达 到过滤非法 DHCP 服务器的目的。基本配置示例:switch(config#ip dhcp snooping vlan 100,200/* 定义哪些 VLAN 启用 DHCP 嗅探switch(config#ip dhcp snoopingswitch(config#int fa4/10 /* dhcp服务器所在

24、端口switch(config-if#ip dhcp snooping trustswitch(config#int range fa3/1 - 48 /* 其它端口switch(config-if#no ip dhcp snooping trust (Defaultswitch(config-if#ip dhcp snooping limit rate 10 (pps/* 一定程度上防止 DHCP 拒绝服 /* 务攻击二、 DHCP Snooping技术DHCP Snooping是一种通过建立 DHCP Snooping Binding数据库,过滤非信任的 DHCP 消息,从而保证网络 安全的特性。 DHCP Snooping就像是非信任的主机和 DHCP 服务器之间的防火墙。通过 DHCP Snooping来区 分连接到末端客户的非信任接口和连接到 DHCP 服务器或者其他交换机的受信任接口。DHCP Snooping Binding数