任务4.2 交换机DHCP Snooping配置

Module4网络安全技术《网络互联技术》任务4.2

交换机DHCPSnooping

配置DHCP基本概念DHCP攻击介绍DHCPSnooping原理DHCP及DHCPSnooping配置流程DHCP及DHCPSnooping配置命令DHCP在应用的过程中存在安全方面的问题，如在遭受DHCPServer仿冒者攻击、DHCPServer拒绝服务攻击等都会影响网络的正常通信。DHCPSnooping可以有效防御DHCP各类攻击，保障DHCP环境的安全稳定。本次任务介绍DHCPSnooping的基本原理和配置方法。任务背景准备知识1.DHCP基本概念DHCP环境下的角色DHCP服务器：负责为DHCP客户端分配网络参数。DHCP可以是专用服务器，也可以是支持DHCP服务的网络设备。DHCP客户端：自动获取IP地址等网络参数的设备。如用户终端（计算机、IP电话）、AP等。DHCP中继。负责转发DHCP服务器和DHCP客户端之间的DHCP报文，协助DHCP服务器向DHCP客户端动态分配网络参数的设备。DHCP服务器和DHCP客户端不在同一网段，就需要DHCP中继设备转发协议报文。DHCP角色1.DHCP基本概念DHCP地址池DHCP服务器可以为客户端分配的所有IP地址的集合。包括IP地址范围、网关、DNS等网络参数。基于接口方式的地址池：地址池为DHCP服务器接口所属网段的IP地址，且地址池中地址只能分配给此接口下的客户端。适用于DHCP服务器与客户端在同一个网段的场景。基于全局方式的地址池：在系统视图下创建的全局地址池，同一DHCP服务器可以配置多个地址池。服务器接口调用全局地址池为其所连接的客户端分配地址。无DHCP中继场景1.DHCP基本概念DHCP地址池DHCP服务器可以为客户端分配的所有IP地址的集合。包括IP地址范围、网关、DNS等网络参数。基于接口方式的地址池：地址池为DHCP服务器接口所属网段的IP地址，且地址池中地址只能分配给此接口下的客户端。适用于DHCP服务器与客户端在同一个网段的场景。基于全局方式的地址池：在系统视图下创建的全局地址池，同一DHCP服务器可以配置多个地址池。服务器接口调用全局地址池为其所连接的客户端分配地址。有DHCP中继场景1.DHCP基本概念DHCP工作原理在没有部署DHCP中继的场景下，DHCP客户端与DHCP服务器的报文交互过程分为以下四个阶段：发现阶段：DHCP客户端广播发送Discover报文来寻找DHCP服务器；提供阶段：DHCP服务器单播回应Offer报文，内含可供分配的IP地址；选择阶段：如果有多个DHCP服务器向DHCP客户端回应DHCPOFFER报文，则DHCP客户端一般只接收第一个收到的DHCPOFFER报文。然后DHCP客户端广播发送REQUEST报文，并通知所有DHCP服务器自己选用的地址；确认阶段：DHCP服务器单播回应DHCPACK报文，确认分配。DHCP报文交互过程（无中继）1.DHCP基本概念DHCP工作原理在部署DHCP中继的场景下，DHCP客户端与DHCP服务器的报文交互过程也分为四个阶段。主要差异是DHCP中继在DHCP服务器和DHCP客户端之间转发DHCP报文，以保证DHCP服务器和DHCP客户端可以正常交互。DHCP报文交互过程（无中继）2.DHCP攻击介绍DHCP仿冒者攻击DHCP客户端和服务器之间无认证机制，会导致非法DHCP服务器分配错误地址，导致用户无法使用网络。DHCP仿冒者攻击2.DHCP攻击介绍DHCP拒绝服务攻击攻击者伪造虚假客户端，恶意申请IP地址，导致DHCP服务器地址池中IP地址快速耗尽而不能为合法用户提供服务。DHCP拒绝服务攻击2.DHCP攻击介绍仿冒DHCP报文攻击攻击者冒充合法用户不断向DHCP服务器发送DHCPRequest报文来续租IP地址，会导致这些到期的IP地址无法正常回收，以致一些合法用户不能获得IP地址。攻击者仿冒合法用户的DHCPRelease报文发往DHCP服务器，将会导致用户异常下线。仿冒DHCP报文攻击2.DHCP攻击介绍DHCP报文泛洪攻击攻击者短时间内向设备发送大量的DHCP报文，将会对设备的性能造成巨大的冲击以致可能会导致设备无法正常工作。DHCP报文泛洪攻击3.DHCPSnooping原理原理DHCPSnooping是DHCP的一种安全特性，用于保证DHCP客户端从合法的DHCP服务器获取IP地址，并记录DHCP客户端IP地址与MAC地址等参数的对应关系，防止网络上针对DHCP攻击。预防DHCP仿冒者攻击配置信任接口。只有信任接口允许接收服务器发送的DHCPOffer、DHCPACK等报文，非信任接口收到DHCP报文后丢弃处理。预防DHCP仿冒者攻击3.DHCPSnooping原理预防DHCP服务拒绝攻击配置允许接入的最大用户数以及检测DHCPRequest报文帧头源MAC与DHCP数据区中CHADDR字段（客户端MAC地址）是否一致功能。当接口下DHCPSnooping绑定表项数达到最大值时，后续用户将无法接入。当帧头源MAC与CHADDR字段不一致时，代表该客户端为伪造客户端，丢弃其发送的报文。预防DHCP拒绝服务攻击3.DHCPSnooping原理预防仿冒DHCP报文攻击配置DHCPSnooping绑定表功能。将DHCPRequest和DHCPRelease报文与绑定表进行匹配，检查报文中的VLAN、IP、MAC、接口信息，以判别报文是否合法。预防仿冒DHCP报文攻击3.DHCPSnooping原理预防DHCP报文泛洪攻击配置对DHCP报文上送速率检测功能。允许在规定速率内上送DHCP报文，超过规定速率的报文将会被丢弃。预防DHCP报文泛洪攻击4.DHCP及DHCPSnooping配置流程DHCP配置流程如下：开启DHCP功能；配置全局地址池：地址池范围、网关地址、DNS等参数设置；接口开启DHCP服务器功能：采用全局地址池或接口地址池；配置DHCP中继服务：依据实际网络环境确定是否需要配置DHCP中继服务。DHCPSnooping配置流程如下：开启DHCPSnooping功能，包括全局开启，以及VLAN或接口下开启；配置DHCPSnooping各项安全功能。（1）开启DHCP功能命令：dhcpenable说明：此命令同时也是配置DHCP中继、安全等相关功能的总开关视图：系统视图举例：交换机S1开启DHCP功能。[S1]dhcpenable5.DHCP及DHCPSnooping配置命令（2）创建全局地址池命令：ippoolip-pool-name

说明：一台DHCP服务器可以创建多个全局地址池视图：系统视图举例：交换机S1创建名为vlan10_pool的地址池。[S1]ippoolvlan10_pool5.DHCP及DHCPSnooping配置命令（3）配置全局地址池下可分配的网段地址命令：networkip-address[mask{mask|mask-length}]说明：每个地址池只能配置一个网段视图：IP地址池视图举例：交换机S1配置地址池vlan10_pool的分配网段为10.1.1.0/24。[S1]ippoolvlan10_pool[S1-ip-pool-vlan10_pool]network10.1.1.0mask245.DHCP及DHCPSnooping配置命令（4）配置IP地址池中不参与自动分配的IP地址范围命令：excluded-ip-addressstart-ip-address[end-ip-address]说明：可以排除单个IP地址或多个连续IP地址视图：IP地址池视图举例：S1地址池vlan10_pool不分配地址范围10.1.1.101-10.1.1.150及10.1.1.200。[S1]ippoolvlan10_pool[S1-ip-pool-vlan10_pool]excluded-ip-address10.1.1.10110.1.1.150[S1-ip-pool-vlan10_pool]excluded-ip-address10.1.1.2005.DHCP及DHCPSnooping配置命令（5）配置为DHCP客户端分配的网关地址命令：gateway-listip-address

说明：网关地址隶属于地址池范围视图：IP地址池视图举例：S1地址池vlan10_pool为客户端分配网关地址为10.1.1.254。[S1]ippoolvlan10_pool[S1-ip-pool-vlan10_pool]gateway-list10.1.1.2545.DHCP及DHCPSnooping配置命令（6）配置为DHCP客户端分配的DNS地址命令：dns-listip-address

说明：可配置多个DNS地址，第一个为主DNS视图：IP地址池视图举例：S1地址池vlan10_pool为客户端分配DNS地址为8.8.8.8和114.114.114.114。[S1]ippoolvlan10_pool[S1-ip-pool-vlan10_pool]dns-list8.8.8.8[S1-ip-pool-vlan10_pool]dns-list114.114.114.1145.DHCP及DHCPSnooping配置命令（7）接口开启DHCPServer功能命令：dhcpselect{global|interface}说明：global表示接口选择对应的全局地址池为客户端分配地址；interface表示采用接口地址池为客户端分配地址视图：接口视图举例1：S1的VLANIF

10接口开启采用全局地址池的DHCPServer功能。举例2：S1的VLANIF

10接口开启采用接口地址池的DHCPServer功能。[S1]intvlanif10[S1-Vlanif10]dhcpselectglobal[S1]intvlanif10[S1-Vlanif10]dhcpselectinterface5.DHCP及DHCPSnooping配置命令（8）开启DHCP中继功能命令：dhcpselectrelay说明：DHCP客户端的网关设备配置视图：接口视图举例：S1的VLANIF

10接口下开启DHCP中继功能。[S1]intvlanif10[S1-Vlanif10]dhcpselectrelay5.DHCP及DHCPSnooping配置命令（9）配置DHCP中继所代理的DHCP服务器的IP地址命令：dhcprelayserver-ipip-address说明：DHCP客户端的网关设备配置视图：接口视图举例：S1的VLANIF

10接口指定DHCP中继代理的服务器地址为10.2.1.254。[S1-Vlanif10]dhcprelayserver-ip10.2.1.2545.DHCP及DHCPSnooping配置命令（10）开启DHCPSnooping功能命令：dhcpsnoopingenable说明：VLAN、接口下配置此功能，需要先全局开启DHCPSnooping功能视图：系统视图、VLAN视图、接口视图举例1：交换机S1中VLAN10开启DHCPSnooping。举例2：交换机S1中G0/0/1开启DHCPSnooping。[S1]dhcpsnoopingenable[S1]vlan10[S1-vlan10]dhcpsnoopingenable[S1]dhcpsnoopingenable[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]dhcpsnoopingenable5.DHCP及DHCPSnooping配置命令（11）设置可信任接口命令：dhcpsnoopingtrusted说明：缺省情况下，所有接口均为不可信任接口视图：接口视图举例：交换机S1中G0/0/1设置为信任接口。[S1]dhcpsnoopingenable[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]dhcpsnoopingtrusted5.DHCP及DHCPSnooping配置命令（12）开启检测DHCPRequest报文帧头源MAC地址与CHADDR字段是否一致功能命令：dhcpsnoopingcheckdhcp-chaddrenable说明：避免攻击者修改CHADDR字段反复申请IP地址，导致地址池被耗尽视图：VLAN视图、接口视图举例1：交换机S1中VLAN10下所有成员接口开启源MAC、CHADDR一致性检测功能。举例2：交换机S1的接口G0/0/1开启源MAC、CHADDR一致性检测功能。[S1]vlan10[S1-vlan10]dhcpsnoopingenable[S1-vlan10]dhcpsnoopingcheckdhcp-chaddrenable[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]dhcpsnoopingenable[S1-GigabitEthernet0/0/1]dhcpsnoopingcheckdhcp-chaddrenable5.DHCP及DHCPSnooping配置命令（13）限制最大DHCP用户接入数命令：dhcpsnoopingmax-user-numbernumber说明：防止DHCP服务拒绝攻击视图：系统视图、VLAN视图、接口视图举例1：交换机S1限制最多存在50个DHCP客户端。举例2：交换机S1限制vlan10中最多存在30个DHCP客户端。[S1]dhcpsnoopingenable[S1]dhcpsnoopingmax-user-number50[S1-vlan10]dhcpsnoopingenable[S1-vlan10]dhcpsnoopingmax-user-number305.DHCP及DHCPSnooping配置命令（14）开启对DHCP报文进行绑定表匹配检查的功能命令：dhcpsnoopingcheckdhcp-requestenable说明：对DHCPRequest或DHCPRelease报文进行匹配检查视图：系统视图、VLAN视图、接口视图举例1：交换机S1的G0/0/1口使能DHCP报文绑定表匹配检查功能。举例2：交换机S1的VLAN

10使能DHCP报文绑定表匹配检查功能。[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]dhcpsnoopingenable[S1-GigabitEthernet0/0/1]dhcpsnoopingcheckdhcp-requestenable[S1]vlan10[S1-vlan10]dhcpsnoopingenable[S1-vlan10]dhcpsnoopingcheckdhcp-requestenable5.DHCP及DHCPSnooping配置命令（15）开启对DHCP报文上送DHCP报文处理单元的速率检测功能命令：dhcpsnoopingcheckdhcp-rateenable[rate]说明：rate为DHCP报文上送至DHCP报文处理单元的最大允许速率，取值范围为1~100，单位pps，默认值为100。超过rate指定速率的报文将被丢弃视图：系统视图、VLAN视图、接口视图举例1：交换机S1使能对DHCP报文上送DHCP报文处理单元的速率检测功能。举例2：交换机S1VLAN

10使能对DHCP报文上送DHCP报文处理单元的速率检测功能。[S1]dhcpsnoopingcheckdhcp-rateenable[S1]vlan10[S1-vlan10]dhcpsnoopingenable[S1-vlan10]dhcpsnoopingcheckdhcp-rateenable5.DHCP及DHCPSnooping配置命令6.任务实施：交换机DHCPSnooping配置（1）掌握DHCPSnooping的基本原理；（2）掌握DHCPSnooping安全功能的配置方法。（一）任务目的

某公司网络通过DHCP协议为VLAN10用户终端动态分配网络参数，以满足用户的网络访问需求。为保证DHCP环境的安全稳定运行，管理员计划对DHCP协议进行必要的安全配置，以避免DHCP仿冒攻击、DHCP服务拒绝攻击及DHCP报文攻击等安全问题。（二）任务描述（1）拓扑图（2）操作流程交换机配置VLAN；S2配置DHCP服务，为VLAN10用户分配地址参数；S1基于VLAN10，配置DHCPSnooping安全功能：设置G0/0/24为信任接口，只允许该接口接收DHCP服务器响应报文；开启帧头源MAC和CHADDR字段检测功能，并限制用户接入数，预防IP地址恶意申请；开启绑定表检测功能，预防DHCP伪造报文；开启DHCP报文上送至DHCP报文处理单元的速率检测功能，预防泛洪攻击。（三）实施规划6.任务实施：交换机DHCPSnooping配置（四）操作步骤S2配置DHCP服务交换机配置VLAN[S1]vlan10[S1-vlan10]intg0/0/1[S1-GigabitEthernet0/0/1]portlink-typeaccess[S1-GigabitEthernet0/0/1]portdefaultvlan10[S1-GigabitEthernet0/0/1]intg0/0/2[S1-GigabitEthernet0/0/2]portlink-typeaccess[S1-GigabitEthernet0/0/2]portdefaultvlan10[S1-GigabitEthernet0/0/2]intg0/0/24[S1-GigabitEthernet0/0/24]portlink-typetrunk[S1-GigabitEthernet0/0/24]porttrunkallow-passvlan10[S1-GigabitEthernet0/0/24]quitS1配置：S1配置DHCP安全功能6.任务实施：交换机DHCPSnooping配置（四）操作步骤S2配置DHCP服务交换机配置VLAN[S2]vlan10[S2-vlan10]intvlanif10[S2-Vlanif10]ipadd10.1.10.25424[S2-Vlanif10]intg0/0/24[S2-GigabitEthernet0/0/24]portlink-typetrunk[S2-GigabitEthernet0/0/24]porttrunkallow-passvlan10[S2-GigabitEthernet0/0/24]quitS2配置：S1配置DHCP安全功能6.任务实施：交换机DHCPSnooping配置（四）操作步骤S2配置DHCP服务交换机配置VLAN[S2]dhcpenable[S2]ippoolvlan10_pool[S2-ip-pool-vlan10_pool]network10.1.10.0mask24[S2-ip-pool-vlan10_pool]gateway-list10.1.10.254[S2-ip-pool-vlan10_pool]dns-list8.8.8.8[S2-ip-pool-vlan10_pool]intvlanif10[S2-Vlanif10]dhcpselectglobalS2配置：S1配置DHCP安全功能6.任务实施：交换机DHCPSnooping配置（四）操作步骤S2配置DHCP服务交换机配置VLAN[S1]dhcpenable[S1]dhcpsnoopingenable//全局开启DHCPSnooping功能[S1]intg0/0/24[S1-GigabitEthernet0/0/24]dhcpsnoopingtrusted//设置为信任接口[S1-GigabitEthernet0/0/24]vlan10[S1-vlan10]dhcpsnoopingenable//VLAN10开启DHCPSnooping功能[S1-vlan10]dhcpsnoopingmax-user-number20//限制连接用户为20[S1-vlan10]dhcpsnoopingcheckdhcp-chaddrenable

//开启检测DHCPRequest报文帧头源MAC地址与CHADDR字段功能[S1-vlan10]dhcpsnoopingcheckdhcp-requestenable

//开启对DHCP报文进行绑定表匹配检查的功能[S1-vlan10]dhcpsnoopingcheckdhcp-rateenable//开启对DHCP报文上送DHCP报文处理单元的速率进行检测功能[S1-vlan10]dhcpsnoopingcheckdhcp-rate50//速率最大值为50S1配置：S1配置DHCP安全功能6.任务实施：交换机DHCPSnooping配置（五）实验测试查看DHCP绑定表信息[S1]disdhcpsnoopinguser-bindvlan10DHCPDynamicBind-table:Flags:O-outervlan,I-innervlan,P-mapvlanIPAddressMACAddressVSI/VLAN(O/I/P)InterfaceLease-------------------------------------------------------