Cisco交换机DHCP+Snooping功能详解+实例

1、一、采用 DHCP服务的常见问题架设 DHCP服务器可以为客户端自动分配IP 地址、掩码、默认网关、 DNS服务器等网络参数，简化了网络配置，提高了管理效率。但在 DHCP服务的管理上存在一些问题，常见的有：DHCP Server 的冒充DHCP Server 的 DOS攻击，如 DHCP耗竭攻击某些用户随便指定IP 地址，造成 IP 地址冲突1、DHCP Server 的冒充由于 DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台 DHCP服务器，它就可以为客户端分配IP 地址以及其他网络参数。 只要让该DHCP服务器分配错误的IP 地址和其他网络参数， 那就会对网络造成非

2、常大的危害。2、DHCP Server 的拒绝服务攻击通常 DHCP服务器通过检查客户端发送的DHCP请求报文中的 CHADDR（也就是 Client MAC address ）字段来判断客户端的 MAC地址。正常情况下该 CHADDR字段和发送请求报文的客户端真实的 MAC地址是相同的。攻击者可以利用伪造MAC的方式发送 DHCP请求，但这种攻击可以使用 Cisco 交换机的端口安全特性来防止。端口安全特性（Port Security）可以限制每个端口只使用唯一的MAC地址。但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改 DHCP报文中的 CHADDR字段来实施攻击， 那端口安

3、全就不起作用了。 由于 DHCP服务器认为不同的 CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造 CHADDR的 DHCP请求，导致 DHCP服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种 DHCP耗竭攻击。 DHCP耗竭攻击可以是纯粹的DOS攻击，也可以与伪造的DHCP服务器配合使用。 当正常的 DHCP服务器瘫痪时，攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址，使它们将信息转发给准备截取的恶意计算机。甚至即使DHCP请求报文的源 MAC地址和1/22CHADDR字段都是正确的，但由于DHCP请求报文是广播报文，如果大量发送的

4、话也会耗尽网络带宽，形成另一种拒绝服务攻击。3、客户端随意指定IP 地址客户端并非一定要使用DHCP服务，它可以通过静态指定的方式来设置IP地址。如果随便指定的话，将会大大提高网络IP 地址冲突的可能性。二、 DHCP Snooping 技术介绍DHCP监听（ DHCPSnooping）是一种 DHCP安全特性。 Cisco 交换机支持在每个 VLAN基础上启用 DHCP监听特性。通过这种特性，交换机能够拦截第二层VLAN域内的所有 DHCP报文。DHCP监听将交换机端口划分为两类：非信任端口：通常为连接终端设备的端口，如PC，网络打印机等信任端口：连接合法DHCP服务器的端口或者连接汇聚交换

5、机的上行端口通过开启 DHCP监听特性，交换机限制用户端口（非信任端口）只能够发送DHCP请求，丢弃来自用户端口的所有其它 DHCP报文，例如 DHCPOffer 报文等。而且，并非所有来自用户端口的 DHCP请求都被允许通过，交换机还会比较 DHCP 请求报文的（报文头里的）源 MAC地址和（报文内容里的） DHCP客户机的硬件地址（即 CHADDR字段），只有这两者相同的请求报文才会被转发，否则将被丢弃。这样就防止了 DHCP耗竭攻击。信任端口可以接收所有的 DHCP报文。通过只将交换机连接到合法 DHCP服务器的端口设置为信任端口，其他端口设置为非信任端口，就可以防止用户伪造DHCP服务

6、器来攻击网络。 DHCP监听特性还可以对端口的 DHCP报文进行限速。 通过在每个非信任端口下进行限速，将可以阻止合法 DHCP请求报文的广播攻击。DHCP监听还有一个 非常重要的作用 就是建立一张 DHCP监听绑定表（ DHCPSnooping Binding ）。一旦一个连接在非信任端口的客户端获得一个合法的DHCP2/22Offer ，交换机就会自动在DHCP监听绑定表里添加一个绑定条目，内容包括了该非信任端口的客户端IP 地址、 MAC地址、端口号、 VLAN编号、租期等信息。如：Switch#show ip dhcp snooping bindingMacAddressIpAddre

7、ssLease(sec) TypeVLANInterface- - - - -这张 DHCP监听绑定表为进一步部署IP 源防护（IPSG）和动态 ARP检测（ DAI）提供了依据。说明：I.非信任端口只允许客户端的DHCP请求报文通过，这里只是相对于DHCP报文来说的。其他非DHCP报文还是可以正常转发的。这就表示客户端可以以静态指定 IP 地址的方式通过非信任端口接入网络。 由于静态客户端不会发送 DHCP 报文，所以 DHCP监听绑定表里也不会有该静态客户端的记录。信任端口的客户端信息不会被记录到DHCP监听绑定表里。如果有一客户端连接到了一个信任端口，即使它是通过正常的DHCP方式获得

8、IP 地址， DHCP监听绑定表里也不有该客户端的记录。如果要求客户端只能以动态获得IP 的方式接入网络，则必须借助于IPSG和 DAI 技术。II. 交换机为了获得高速转发，通常只检查报文的二层帧头，获得目标 MAC 地址后直接转发，不会去检查报文的内容。而 DHCP监听本质上就是开启交换机对 DHCP报文的内容部分的检查， DHCP报文不再只是被检查帧头了。III. DHCP 监听绑定表不仅用于防御 DHCP攻击，还为后续的 IPSG和 DAI 技术提供动态数据库支持。3/22IV. DHCP 监听绑定表里的Lease 列就是每个客户端对应的DHCP租约时间。当客户端离开网络后， 该条目并

9、不会立即消失。 当客户端再次接入网络， 重新发起 DHCP请求以后，相应的条目内容就会被更新。如上面的这个客户端原本插在Fa0/1 端口，现在插在Fa0/3 端口，相应的记录在它再次发送DHCP请求并获得地址后会更新为：Switch#show ip dhcp snooping bindingorSwitch#show ip source bindingMacAddressIpAddressLease(sec)TypeVLANInterface-V. 当交换机收到一个DHCPDECLINE或 DHCPRELEASE广播报文，并且报文头的源 MAC地址存在于 DHCP监听绑定表的一个条目中。但是报

10、文的实际接收端口与绑定表条目中的端口字段不一致时，该报文将被丢弃。DHCPRELEASE报文：此报文是客户端主动释放IP 地址（如 Windows 客户端使用 ipconfig/release），当 DHCP服务器收到此报文后就可以收回IP 地址，分配给其他的客户端了DHCPDECLINE报文：当客户端发现 DHCP服务器分配给它的 IP 地址无法使用（如 IP 地址发生冲突） 时，将发出此报文让 DHCP服务器禁止使用这次分配的 IP 地址。VI. DHCP 监听绑定表中的条目可以手工添加。VII. DHCP 监听绑定表在设备重启后会丢失，需要重新绑定，但可以通过设置将绑定表保存在flash

11、或者 tftp/ftp服务器上，待设备重启后直接读取，而不需要客户端再次进行绑定4/22VIII.当前主流的 Cisco 交换机基本都支持DHCP Snooping功能。三、 DHCP Option 82当 DHCP服务器和客户端不在同一个子网内时，客户端要想从 DHCP服务器上分配到 IP 地址，就必须由 DHCP中继代理（ DHCPRelay Agent ）来转发 DHCP 请求包。 DHCP中继代理将客户端的 DHCP报文转发到 DHCP服务器之前，可以插入一些选项信息，以便 DHCP服务器能更精确的得知客户端的信息，从而能更灵活的按相应的策略分配IP 地址和其他参数。 这个选项被称为：

12、 DHCPrelayagentinformationoption （中继代理信息选项），选项号为82，故又称为 option82，相关标准文档为RFC3046。Option 82 是对 DHCP选项的扩展应用。选项82 只是一种应用扩展，是否携带选项 82 并不会影响 DHCP原有的应用。另外还要看 DHCP服务器是否支持选项 82。不支持选项 82 的 DHCP服务器接收到插入了选项 82 的报文，或者支持选项 82 的 DHCP服务器接收到了没有插入选项 82 的报文，这两种情况都不会对原有的基本的 DHCP服务造成影响。要想支持选项 82 带来的扩展应用，则 DHCP 服务器本身必须支持

13、选项 82 以及收到的 DHCP报文必须被插入选项 82 信息。从非信任端口收到 DHCP请求报文，不管 DHCP服务器和客户端是否处于同一子网，开启了 DHCP监听功能的 Cisco 交换机都可以选择是否对其插入选项 82 信息。默认情况下， 交换机将对从非信任端口接收到的 DHCP请求报文插入选项 82 信息。当一台开启 DHCP监听的汇聚交换机和一台插入了选项 82信息的边界交换机（接入交换机）相连时：如果边界交换机是连接到汇聚交换机的信任端口， 那么汇聚交换机会接收从信任端口收到的插入选项 82 的 DHCP报文信息，但是汇聚交换机不会为这些信息建立 DHCP监听绑定表条目。如果边界交

14、换机是连接到汇聚交换机的非信任端口，那么汇聚交换机会丢弃从该非信任端口收到的插入了选项82 的 DHCP报文信息。但在 IOS 12.2 （ 25）5/22SE版本之后，汇聚交换机可以通过在全局模式下配置一条ip dhcp snoopinginformationallow-untrusted命令。这样汇聚交换机就会接收从边界交换机发来的插入选项 82 的 DHCP报文信息，并且也为这些信息建立DHCP监听绑定表条目。在配置汇聚交换机下联口时， 将根据从边界交换机发送过来的数据能否被信任而设置为信任或者非信任端口。四、 DHCP Snooping 的配置Switch(config)#ip dhc

15、p snooping/打开 DHCP Snooping功能Switch(config)#ip dhcp snooping vlan 10/ 设置 DHCP Snooping功能将作用于哪些 VLANSwitch(config)#ip dhcp snooping verify mac-address/ 检测非信任端口收到的DHCP请求报文的源 MAC和 CHADDR字段是否相同，以防止DHCP耗竭攻击， 该功能默认即为开启Switch(config-if)#ip dhcp snooping trust/ 配置接口为 DHCP监听特性的信任接口， 所有接口默认为非信任接口Switch(config

16、-if)#ip dhcp snooping limit rate 15/ 限制非信任端口的DHCP报文速率为每秒15 个包（默认即为每秒15 个包）如果不配该语句，则show ip dhcpsnooping 的结果里将不列出没有该语句的端口，可选速率范围为1-2048建议：在配置了端口的DHCP报文限速之后，最好配置以下两条命令Switch(config)#errdisable recovery cause dhcp-rate-limit/ 使由于 DHCP报文限速原因而被禁用的端口能自动从err-disable状态恢复Switch(config)#errdisable recovery in

17、terval 30/设置恢复时间；端口被置为 err-disable 状态后，经过 30 秒时间才能恢复Switch(config)#ip dhcp snooping information option/ 设置交换机是否为非信任端口收到的DHCP报文插入 Option 82 ，默认即为开启状态Switch(config)#ip dhcp snooping information option allow-untrusted/ 设置6/22汇聚交换机将接收从非信任端口收到的接入交换机发来的带有选项82 的 DHCP报文interface fa0/2 expiry 692000/ 特权模式命令

18、；手工添加一条DHCP监听绑定条目； expiry为时间值，即为监听绑定表中的lease （租期）Switch(config)#ip dhcp snooping database flash:dhcp_snooping.db/ 将 DHCP监听绑定表保存在flash中，文件名为 dhcp_snooping.dbSwitch(config)#ip dhcp snooping database/ 将 DHCP监听绑定表保存到tftp服务器；为 tftp服务器地址， 必须事先确定可达。 URL中的 Switch 是 tftp服务器下一个文件夹；保存后的文件名为dhcp_snooping.db ，当更

19、改保存位置后会立即执行“写”操作。Switch(config)#ip dhcp snooping database write-delay 30/ 指 DHCP监听绑定表发生更新后，等待30 秒，再写入文件，默认为300 秒；可选范围为15-86400 秒Switch(config)#ip dhcp snooping database timeout 60/ 指 DHCP监听绑定表尝试写入操作失败后，重新尝试写入操作，直到60 秒后停止尝试。默认为300 秒；可选范围为 0-86400 秒说明：实际上当 DHCP监听绑定表发生改变时会先等待 write-delay 的时间，然后执行写入操作，如

20、果写入操作失败（比如 tftp 服务器不可达），接着就等待 timeout 的时间，在此时间段内不断重试。在 timeout 时间过后，停止写入尝试。但由于监听绑定表已经发生了改变， 因此重新开始等待 write-delay 时间执行写入操作不断循环，直到写入操作成功。Switch#renew ip dhcp snooping database flash:dhcp_snooping.db/ 特权级命令；立即从保存好的数据库文件中读取DHCP监听绑定表。五、显示 DHCP Snooping 的状态Switch#show ip dhcp snooping/显示当前 DHCP监听的各选项和各端口的

21、配置情况Switch#show ip dhcp snooping binding/ 显示当前的 DHCP监听绑定表7/22Switch#show ip dhcp snooping database/ 显示 DHCP监听绑定数据库的相关信息Switch#show ip dhcp snooping statistics/ 显示 DHCP监听的工作统计Switch#clear ip dhcp snooping binding/ 清除 DHCP监听绑定表；注意：本命令无法对单一条目进行清除，只能清除所有条目Switch#clear ip dhcp snooping database statistic

22、s/ 清空 DHCP监听绑定数据库的计数器Switch#clear ip dhcp snooping statistics/ 清空 DHCP监听的工作统计计数器六、 DHCP Snooping 的实例1、单交换机（ DHCP服务器和 DHCP客户端位于同一VLAN）环境：Windows2003 DHCP服务器和客户端都位于 vlan 10；服务器接在 fa0/1 ，客户端接在 fa0/22960 交换机相关配置：ip dhcp snooping vlan 10ip dhcp snooping!interface FastEthernet0/1description : Connect to W

23、in2003 DHCP Serverswitchport access vlan 10switchport mode accessspanning-tree portfastip dhcp snooping trust!8/22interface FastEthernet0/2description : Connect to DHCP Clientswitchport access vlan 10switchport mode accessspanning-tree portfastip dhcp snooping limit rate 15说明：本例中交换机对于客户端的DHCP请求报文将插入

24、选项82 信息；也可以通过配置 no ip dhcp snooping information option命令选择不插入选项82信息。两种情况都可以。客户端端口推荐配置spanning-tree portfast命令，使得该端口不参与生成数计算，节省端口启动时间， 防止可能因为端口启动时间过长导致客户端得不到 IP 地址。开启 DHCP监听特性的 vlan 并不需要该 vlan 的三层接口被创建。2、单交换机（ DHCP服务器和 DHCP客户端位于同一VLAN）环境： Cisco IOS DHCP服务器（ 2821 路由器）和 PC客户端都位于 vlan 10；路由器接在交换机的 fa0/1

25、 ，客户端接在 fa0/22960 交换机相关配置：ip dhcp snooping vlan 10ip dhcp snooping!interface FastEthernet0/19/22description : Connect to IOS DHCP Server C2821_Gi0/0switchport access vlan 10switchport mode accessspanning-tree portfastip dhcp snooping trust!interface FastEthernet0/2description : Connect to DHCP Clien

26、tswitchport access vlan 10switchport mode accessspanning-tree portfastip dhcp snooping limit rate 152821 路由器相关配置：!ip dhcp pool testlease 8!interface GigabitEthernet0/0description : Connect to C2960_Fa0/1ip dhcp relay information trusted说明：I 、需要注意的是路由器连接到交换机的端口需要配置 ip dhcp relay information trusted ，

27、否则客户端将无法得到 IP 地址。10/22这是因为交换机配置了 （默认情况） ip dhcp snooping informationoption ，此时交换机会在客户端发出的DHCP请求报文中插入选项82 信息。另一方面由于DHCP服务器（这里指Cisco IOS DHCP 服务器）与客户端处于同一个VLAN中，所以请求实际上并没有经过DHCP中继代理。对于 Cisco IOS DHCP 服务器来说，如果它收到的 DHCP请求被插入了选项 82 信息，那么它会认为这是一个从 DHCP中继代理过来的请求报文，但是它检查了该报文的 giaddr 字段却发现是，而不是一个有效的 IP 地址（ D

28、HCP 请求报文中的 giaddr 字段是该报文经过的第一个 DHCP中继代理的 IP 地址，具体请参考 DHCP报文格式），因此该报文被认为“非法”，所以将被丢弃。可以参考路由器上的DHCP的 debug 过程。Cisco IOS 里有一个命令， 专门用来处理这类 DHCP请求报文： ip dhcp relay information trusted （接口命令）或者 ip dhcp relay information trust-all（全局命令， 对所有路由器接口都有效）；这两条命令的作用就是允许被插入了选项 82 信息，但其 giaddr 字段为的 DHCP请求报文通过。II 、如果交

29、换机不插入选项82 信息，即配置了 no ip dhcp relayinformationtrusted ，那么就不会出现客户端无法得到IP 地址的情况，路由器也不需要配置ip dhcp relay information trusted命令。III 、Windows DHCP服务器应该没有检查这类 DHCP请求的机制，所以上一个实例中不论交换机是否插入选项 82 信息，客户端总是可以得到 IP 地址。3、单交换机（ DHCP服务器和 DHCP客户端位于不同VLAN）11/22环境： Cisco IOS DHCP 服务器（ 2821 路由器）的 IP 地址为，位于 vlan 2 ；DHCP客户

30、端位于 vlan 10 ；交换机为 3560，路由器接在 fa0/1 ，客户端接在 fa0/2 。3560 交换机相关配置：ip routing！ip dhcp snooping vlan 2,10ip dhcp snooping!interface FastEthernet0/1description : Connect to IOS DHCP Server C2821_Gi0/0switchport access vlan 2switchport mode accessspanning-tree portfastip dhcp snooping trust!interface FastEt

31、hernet0/2description : Connect to DHCP Clientswitchport access vlan 10switchport mode accessspanning-tree portfastip dhcp snooping limit rate 15!interface Vlan2!interface Vlan1012/222821 路由器相关配置：no ip routing!ip dhcp pool testlease 8!interface GigabitEthernet0/0description : Connect to C3560_Fa0/1!说

32、明：本例中的路由器不需要配置ip dhcp relay information trusted命令，因为从交换机过来的DHCP请求经过了中继代理，其报文中的giaddr 字段为，而不是，是默认正常的DHCP请求报文。4、多交换机环境（ DHCP服务器和 DHCP客户端位于不同VLAN）13/22环境：2611 路由器作为 DHCP服务器， IP 地址为，位于 vlan 2；PC位于 vlan 10 ； 路由器接在 3560 的 Gi0/2 ，PC接 2960 的 fa0/1 口，两交换机互连口都是 gi0/1 。3560 交换机相关配置：ip routing！interface Gigabit

33、Ethernet0/1description : Connect to C2960_Gi0/1switchport trunk encapsulation dot1qswitchport mode trunk!interface GigabitEthernet0/2description : Connect to IOS DHCP Server C2611_Gi0/0switchport access vlan 2switchport mode accessspanning-tree portfast!interface Vlan2!interface Vlan10ip dhcp relay

34、information trusted2960 交换机相关配置：ip dhcp snooping vlan 10ip dhcp snooping14/22interface FastEthernet0/1description : Connect to PCswitchport access vlan 10switchport mode accessspanning-tree portfastip dhcp snooping limit rate 15！interface GigabitEthernet0/1description : Connect to C3560_Gi0/1switchp

35、ort mode trunkip dhcp snooping trust2611 路由器相关配置：no ip routing!ip dhcp pool testlease 8!interface GigabitEthernet0/0description : Connect to C3560_Gi0/2!说明：15/22本例中 3560 没有开启 DHCP监听功能， 2960 开启了该功能。需要注意的是 int vlan 10需要配置 ip dhcp relay information trusted，理由如同实例2。5、多交换机环境（ DHCP服务器和 DHCP客户端位于同一VLAN）环境：

36、 3560 交换机自身作为DHCP服务器； PC1和 PC2都位于 vlan 10； PC1接 3560 的 fa0/1 口， PC2接 2960 的 fa0/1 口；两交换机互连口都是gi0/13560 交换机相关配置：!ip dhcp pool testlease 8!ip dhcp snooping vlan 10ip dhcp snooping information option allow-untrustedip dhcp snooping!interface FastEthernet0/116/22description : Connect to PC1switchport ac

37、cess vlan 10switchport mode accessspanning-tree portfastip dhcp snooping limit rate 15!interface GigabitEthernet0/1description : Connect to C2960_Gi0/1switchport trunk encapsulation dot1qswitchport mode trunkip dhcp snooping limit rate 3602960 交换机相关配置：ip dhcp snooping vlan 10ip dhcp snoopinginterfac

38、e FastEthernet0/1description : Connect to PC2switchport access vlan 10switchport mode accessspanning-tree portfastip dhcp snooping limit rate 15！interface GigabitEthernet0/1description : Connect to C3560_Gi0/1switchport mode trunkip dhcp snooping trust说明：17/22本例中 3560 和 2960 同时开启了 DHCP监听功能。从 2960 过来

39、的 DHCP请求报文是已经被插入了选项 82 信息，如果将 3560 的 Gi0/1 设置为信任端口， 那么插入了 82 选项的 DHCP请求报文是允许通过的，但不会为其建立 DHCP监听绑定表。即 3560 上只有 PC1的绑定条目，而没有 PC2的绑定条目。如果此时同时部署 DAI，IPSG，由于 2960 不支持这两项功能，对于 3560 来说，从 2960 上过来的数据可能存在 IP 欺骗和 ARP欺骗等攻击， 是不安全的。 另一方面，由于 3560 没有 PC2的绑定条目，而 DAI 和 IPSG必须依赖 DHCP监听绑定表。因此如果需要在 3560 上再部署 DAI 或者 IPSG

40、，就不能将 3560 的 Gi0/1 设置为信任端口。但是将 3560 的 Gi0/1 口设置为非信任端口以后，默认情况下，非信任端口将会丢弃收到的插入了82 选项的 DHCP请求报文。而从 2960 过来的 DHCP请求报文又正好是被插入了选项82 信息的。因此必须配置 ip dhcp snoopinginformation option allow-untrusted命令，否则 3560 将丢弃这些 DHCP请求报文，接在 2960 上的 PC2将得不到 IP 地址。只有配置了该命令以后， 3560 才会接收从 2960 发送的插入了选项82 的 DHCP报文，并为这些信息建立绑定条目。3

41、560 下联的 Gi0/1 口由于是非信任端口， 默认限速为每秒 15 个 DHCP请求报文，如果 2960 上的所有 PC都同时发起 DHCP请求，可能此端口会被 errdisable 掉。这里假设 2960 为 24 口，因此简单的设置限速为 24*15=360。2960 上联的 Gi0/1 口必须被配置为信任端口，否则将丢弃从 3560 过来的DHCP应答报文， PC2将无法得到 IP 地址。C3560#show ip dhcp snoopingSwitch DHCP snooping is enabledDHCP snooping is configured on following

42、VLANs:10DHCP snooping is operational on following VLANs:10DHCP snooping is configured on the following L3 Interfaces:Insertion of option 82 is enabled18/22circuit-id format: vlan-mod-portremote-id format: MACOption 82 on untrusted port is allowedVerification of hwaddr field is enabledDHCP snooping t

43、rust/rate is configured on the following Interfaces:InterfaceTrustedRate limit (pps)-FastEthernet0/1no15GigabitEthernet0/1no360C3560#show ip dhcp snooping bindingMacAddress IpAddressLease(sec)TypeVLANInterface-C2960#show ip dhcp snoopingSwitch DHCP snooping is enabledDHCP snooping is configured on f

44、ollowing VLANs:10Insertion of option 82 is enabledcircuit-id format: vlan-mod-portremote-id format: MACOption 82 on untrusted port is not allowedVerification of hwaddr field is enabledInterfaceTrustedRate limit (pps)-FastEthernet0/1no15GigabitEthernet0/1yesunlimited19/22C2960#show ip dhcp snooping bindingMacAddressIpAddressLease(sec)TypeVLAN Interface-00:0B:DB:08:21:E088023dhcp-snooping10FastEthernet0/16、多交换机环境（ DHCP服务器和 DHCP客户端位于同一VLAN）环