DHCP Snooping原理和配置
DHCP Snooping原理和配置
- 基本原理
- 配置
一、基本原理
DHCP Snooping
功能: 使能该技术可以防止非法用户攻击,使得客户端可以从合法的服务器获取IP。
过程:使能了DHCP Snooping的设备将用户(DHCP客户端)的DHCP请求报文通过信任接口发送给合法的DHCP服务器。之后设备根据DHCP服务器回应的DHCP ACK报文信息生成DHCP Snooping绑定表。后续设备再从使能了DHCP Snooping的接口接收用户发来的DHCP报文时,会进行匹配检查,能够有效防范非法用户的攻击。
作用: 在网络中使用DHCP Snooping技术可以控制DHCP服务器应答报文的来源,以防止网络中可能存在的DHCP Server仿冒者为DHCP客户端分配IP地址及其他配置信息。
DHCP Snooping信任功能将接口分为信任接口和非信任接口:
信任接口(trust)正常接收DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文。
非信任接口(untrust)在接收到DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文后,丢弃该报文。
DHCP Snooping绑定表
使能DHCP Snooping功能的二层接入设备收到DHCP服务器发送的ACK消息的时候,会提取其中的关键字段形成绑定表,包括IP地址、MAC地址、以及客户端和二层接入设备的接口信息(接口编号和VLAN所属)。
DHCP Snooping绑定表根据DHCP租期进行老化或根据用户释放IP地址时发出的DHCP Release报文自动删除对应表项。
由于DHCP Snooping绑定表记录了DHCP客户端IP地址与MAC地址等参数的对应关系,故通过对报文与DHCP Snooping绑定表进行匹配检查,能够有效防范非法用户的攻击。
为了保证设备在生成DHCP Snooping绑定表时能够获取到用户MAC等参数,DHCP Snooping功能需应用于二层网络中的接入设备或第一个DHCP Relay上。
在DHCP中继使能DHCP Snooping场景中,DHCP Relay设备不需要设置信任接口。因为DHCP Relay收到DHCP请求报文后进行源目的IP、MAC转换处理,然后以单播形式发送给指定的合法DHCP服务器,所以DHCP Relay收到的DHCP ACK报文都是合法的,生成的DHCP Snooping绑定表也是正确的。
DHCP Snooping应用场景
1、防止DHCP Server仿冒者攻击导致用户获取到错误的IP地址和网络参数
2、防止非DHCP用户攻击导致合法用户无法正常使用网络
3、防止DHCP报文泛洪攻击导致设备无法正常工作
4、防止仿冒DHCP报文攻击导致合法用户无法获得IP地址或异常下线
5、防止DHCP Server服务拒绝攻击导致部分用户无法上线
二、配置
特点:
1、DHCP Snooping功能是交换机的基本特性,无需获得License许可即可应用此功能。
2、如果需要上线的用户数目超过了设备支持的DHCP Snooping绑定表规格,超出的用户将无法上线。
3、DHCP Snooping功能不支持在接口的三层模式下配置。
4、VXLAN场景下,不支持DHCPv6 Snooping功能。
5、VRRP场景下,备设备不能同步主设备上的DHCP Snooping绑定表。故VRRP场景下不能配置DHCP Snooping功能,否则会导致主备倒换后原有业务失效.
6、DHCP Snooping最多支持处理带有双层VLAN Tag的DHCP报文。对于带有更多层VLAN Tag的报文建议不要配置DHCP Snooping功能,否则会导致丢包,影响用户的使用体验。
7、如果设备使能了DHCP Snooping功能,不能配置2 to 2的VLAN Mapping功能,否则会导致DHCP用户无法上线。
1、执行命令dhcp snooping enable [ ipv4 | ipv6 ],全局使能DHCP Snooping功能。
缺省情况下,设备全局未使能DHCP Snooping功能。
也可在VLAN接口下使能dhcp snooping
2、使能后,配置信任接口,这样才能 生成DHCP Snooping绑定表。
进入接口模式下: dhcp snooping trusted 默认接口是untrust
或者直接使用 dhcp snooping trusted interface g0/0/1.
VLAN视图下:执行命令vlan vlan-id,进入VLAN视图。执行命令dhcp snooping trusted interface interface-type interface-number ,配置接口为“信任”接口。缺省情况下,接口的状态为“非信任”状态。在VLAN视图下执行此命令,则命令功能仅对加入该VLAN的接口收到的属于此VLAN的DHCP报文生效;在接口下执行该 命令,则命令功能对该接口接收到的所有DHCP报文生效。
3、查看配置信息。
display dhcp snooping configuration [ vlan vlan-id | interface interface-type interface-number查看DHCP Snooping绑定表相关信息。
执行命令display dhcp snooping user-bind DHCP Snooping原理和配置相关推荐
- 华为DHCP Snooping原理及其实验配置
创作不易,记得点个赞哦 目录 1.DHCP Snooping原理 2. DHCP仿冒者攻击 2.1 DHCP仿冒者攻击解决办法 2.2 仿冒者攻击实验 2.2 仿冒者攻击解决办法 2.2.1 静态绑 ...
- (一)Cisco DHCP Snooping原理(转载)
采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址.掩码.默认网关.DNS服务器等网络参数,简化了网络配置,提高了管理效率.但在DHCP服务的管理上存在一些问题,常见的有: ●D ...
- DHCP snooping 原理和工作工程:
1.信任功能: 作用:DHCP snooping的信任功能,就是为了让用户从合法的DHCP 服务器上获取到IP地址. DHCP Snooping 信任功能允许将端口分为信任端口和非信任端口:信任端口正 ...
- DHCP中继原理及配置实操
文章目录 DHCP中继原理 DHCP中继实验 DHCP中继原理 当企业的内部网络规模较大时,通常被划分为多个不同的子网,网络内配置了VLAN,VLAN能隔离广播,而DHCP协议使用广播 DHCP服务器 ...
- DHCP 服务原理与配置
目录 1. DHCP 简介 2. DHCP 的好处 3. DHCP 的分配方式 4. DHCP 租约过程和续租 4.1 租约过程简述 4.2 租约过程详细解释 (1) 客户端进行 IP 请求 (2) ...
- DHCP的原理与配置
(1)基于接口的dhcp 1.首先确定好dhcp server(即R2,如图一)和client(即R1,如图一)的角色. 2.在客户端上: 先在系统视图下使dhcp功能开启.命令:dhcp enabl ...
- DHCP 服务原理:Snooping和Relay
1.DHCP基础 1.1 发现阶段,即DHCP客户端发现DHCP服务器的阶段. 1.2 提供阶段,即DHCP服务器提供IP地址的阶段. 1.3选择阶段,即DHCP客户端选择IP ...
- 实训二十八:交换机 DHCP Snooping 的配置
一.实验目的 1. 了解 DHCP snooping 原理: 2. 熟练掌握交换机 DHCP snooping 的配置方法: 3. 了解该功能的广泛应用. 二.应用环境 1.在 DHCP 的网络环境中 ...
- 【鬼网络】之DHCP原理与配置
序言 DHCP 序言 一.DHCP工作原理 1. 什么是DHCP 2.DHCP的分配方式 3.DHCP的租约过程 二.DHCP服务器的配置 DHCP客户端的使用 DHCP中继原理与配置 1.主配置文件 ...
最新文章
- 为什么要使用Retrofit封装OkHttp,而不单独使用OkHttp?
- 用Azure VM + Azure Database for MySQL搭建Web服务
- C++知识点5——迭代器简述
- 《SVG精髓》笔记(二)
- 北京大力度建设城市绿道,我们身边处处是风景
- 不能卸载java_无法卸载注入的DLL
- ASP.NET 2.0 中的 Theme 功能
- 求立方根_初一数学立方根考点详解,立足基础,把握题型,学会方法
- 《机器学习》周志华 习题答案9.4
- SpringCloud微服务:Eureka组件之服务注册与发现
- python两列相乘_如何将pandas中具有不同索引的两列相乘?
- “在格力干到退休,这套房就给你了!”董明珠称将投放3700套人才房…
- 谁在让字节跳动?张一鸣领衔14大将,106位高管架构首次曝光
- 支持下一代分布式应用链开发的区块链服务互联网
- SPSS下载安装教程
- c语言程序负数,C语言中负数怎么表示的?
- [高通SDM450][Android9.0]禁止电话、短信呼入
- 参与评选开源软件名单
- 华为和H3C无线AP上线DHCP参数配置
- 开题报告:基于java新冠疫苗在线预约系统 毕业设计论文开题报告模板