华为 DHCP、DHCP中继、DHCP snooping

哈喽，大家好！我是艺博东，是一个思科出身专注于华为的网工；好了，话不多说，我们直接进入正题。

文章目录

一、DHCP 拓扑
二、DHCP 基础配置
三、DHCP 测试
四、DHCP 分析
五、DHCP 中继
六、DHCP 中继拓扑
七、DHCP 中继基础配置
八、DHCP 中继测试
九、DHCP snooping

一、DHCP 拓扑

二、DHCP 基础配置

[Huawei]sysname R1
[R1]dhcp enable
[R1]ip pool 160
[R1-ip-pool-160]gateway-list 192.168.160.1                #网关
[R1-ip-pool-160]network 192.168.160.0 mask 255.255.255.0  #分配的网段
[R1-ip-pool-160]lease day 3 hour 0 minute 0               #租期
[R1-ip-pool-160]dns-list 114.114.114.114                  #dns服务器的IP地址
[R1-ip-pool-160]q
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address  192.168.160.1 24
[R1-GigabitEthernet0/0/0]q
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]dhcp select global               #接口下选择全局的地址池给DHCP客户端使用
[R1-GigabitEthernet0/0/0]q

三、DHCP 测试

PC1

选择DHCP—>右下角点击“应用”

输入ipconfig

由以上输出结果可知，已成功获取。

测试连通性
PC>ping 192.168.160.1

已ping通。

四、DHCP 分析

抓包

DHCP客户端获取地址的过程，分为四个阶段：发现阶段，提供阶段，选择阶段，确认阶段。

（1）发现阶段

首先是DHCP客户发起DHCP Discover报文来寻找DHCP服务器。由于DHCP服务器的IP地址对于客户端来说是未知的，所以DHCP客户端以广播方式发送DHCP Discover报文。所有收到DHCP Discover报文的DHCP服务器都会发送回应报文，DHCP客户端据此可以知道网络中存在的DHCP服务器的位置。

它的源地址为0.0.0.0，目的地址为255.255.255.255。

DHCP报文的广播标志字段（flags），当标志字段的最高位为0时，表示客户端希望服务器以单播方式发送DHCP Offer/DHCP Ack报文；当标志字段的最高位为1时，表示客户端希望服务器以广播方式发送DHCP Offer/DHCP Ack报文。

option 53 消息类型
option 61 DHCP 客户端 ID
option 55 请求的参数

（2）提供阶段

网络中接收到DHCP Discover报文的DHCP服务器，会从地址池选择一个合适的 IP 地址，连同 IP 地址租约期限和其他配置信息通过DHCP Offer报文发送给DHCP客户端。

它的源地址为192.168.160.1（DHCP 服务器的地址），目的地址为192.168.160.254（分配给DHCP客户端的IP地址）。

option 53 消息类型
option 1 子网掩码
option 3 网关地址
option 6 DNS服务器的地址
option 51 租期时间
option 59 87.5% 续租时间
option 58 50% 续租时间
option 54 DHCP 服务器 ID

option 53 消息类型

option 1 子网掩码

option 3 网关地址

option 6 DNS服务器的地址

option 51 租期时间

option 59 87.5%会续租时间

option 58 50%会续租时间

option 54 DHCP 服务器 ID

（3）选择阶段

如果有多台 DHCP 服务器向 DHCP 客户端回应 DHCP Offer 报文，则 DHCP 客户端只接收第一个收到的 DHCP Offer报文。然后以广播方式发送 DHCP Request请求报文，该报文中包含服务器标识选项，即它选择的 DHCP 服务器的 IP 地址信息。

它的源地址为0.0.0.0（DHCP 服务器的地址），目的地址为255.255.255.255（分配给DHCP客户端的IP地址）。

option 53 消息类型
option 54 DHCP 服务器 ID
option 50 请求的IP地址
option 61 DHCP 客户端 ID
option 55 请求的参数

（4）确认阶段

当 DHCP 服务器收到 DHCP 客户端回答的 DHCP Request报文后，DHCP 服务器会根据 DHCP Request报文中携带的 MAC 地址来查找有没有相应的租约记录。如果有，则向客户端发送包含它所提供的 IP 地址和其它设置的 DHCP Ack 确认报文。DHCP 客户端收到该确认报文后，会以广播的方式发送免费 ARP 报文，探测是否有主机使用服务器分配的 IP 地址，如果在规定的时间内没有收到回应，客户端才使用此地址。

它的源地址为192.168.160.1（DHCP 服务器的地址），目的地址为192.168.160.254（分配给DHCP客户端的IP地址）。

DHCP Release 报文是主动释放服务器分配给它的IP地址。

五、DHCP 中继

5.1 定义

DHCP Relay 即 DHCP 中继，它实现了不同网段间的 DHCP 服务器和客户端之间的报文交互。

5.2 作用

DHCP 中继承担处于不同网段间的 DHCP 客户端和服务器之间中继服务，将 DHCP 协议报文跨网段透传到目的 DHCP 服务器，最终使网络上的 DHCP 客户端可以共同使用一个 DHCP 服务器。

六、DHCP 中继拓扑

七、DHCP 中继基础配置

[R1]dhcp enable
[R1]ip pool 200
[R1-ip-pool-200]gateway-list 192.168.200.254
[R1-ip-pool-200]network 192.168.200.0 mask 255.255.255.0
[R1-ip-pool-200]lease day 3 hour 0 minute 0
[R1-ip-pool-200]dns-list 114.114.114.114
[R1-ip-pool-200]q
[R1]ip pool 100
[R1-ip-pool-100]gateway-list 192.168.100.254
[R1-ip-pool-100]network 192.168.100.0 mask 255.255.255.0
[R1-ip-pool-100]lease day 3 hour 0 minute 0
[R1-ip-pool-100]dns-list 114.114.114.114
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.160.1 255.255.255.0
[R1-GigabitEthernet0/0/0]dhcp select global
[R1-GigabitEthernet0/0/0]q
[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.160.2

[R2]dhcp enable
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip address 192.168.160.2 255.255.255.0
[R2-GigabitEthernet0/0/0]q
[R2]vlan batch 100 200
[R2]int g0/0/1.100
[R2-GigabitEthernet0/0/1.100]dot1q termination vid 100
[R2-GigabitEthernet0/0/1.100]ip address 192.168.100.254 255.255.255.0
[R2-GigabitEthernet0/0/1.100]arp broadcast enable
[R2-GigabitEthernet0/0/1.100]dhcp select relay
[R2-GigabitEthernet0/0/1.100]dhcp relay server-ip 192.168.160.1
[R2-GigabitEthernet0/0/1.100]q
[R2]int g0/0/1.200
[R2-GigabitEthernet0/0/1.200]dot1q termination vid 200
[R2-GigabitEthernet0/0/1.200]ip address 192.168.200.254 255.255.255.0
[R2-GigabitEthernet0/0/1.200]arp broadcast enable
[R2-GigabitEthernet0/0/1.200]dhcp select relay
[R2-GigabitEthernet0/0/1.200]dhcp relay server-ip 192.168.160.1
[R2-GigabitEthernet0/0/1.200]q
[R2]ip route-static 0.0.0.0 0.0.0.0 192.168.160.1

LSW1

[Huawei]sysname LSW1
[LSW1]vlan batch 100 200
[LSW1]dhcp enable
[LSW1]int g0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type trunk             #端口类型为trunk
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all   #放行所有VLAN
[LSW1-GigabitEthernet0/0/1]int g0/0/2
[LSW1-GigabitEthernet0/0/2]p l a
[LSW1-GigabitEthernet0/0/2]port default vlan 200
[LSW1-GigabitEthernet0/0/2]int g0/0/3
[LSW1-GigabitEthernet0/0/3]p l a
[LSW1-GigabitEthernet0/0/3]port default vlan 100
[LSW1-GigabitEthernet0/0/3]q
[LSW1]int Vlanif 200
[LSW1-Vlanif200]ip address 192.168.200.254 255.255.255.0
[LSW1-Vlanif200]dhcp select relay
[LSW1-Vlanif200]dhcp relay server-ip 192.168.160.1
[LSW1-Vlanif200]q
[LSW1]int Vlanif 100
[LSW1-Vlanif100]ip address 192.168.100.254 255.255.255.0
[LSW1-Vlanif100]dhcp select relay                   #使能DHCP Relay功能
[LSW1-Vlanif100]dhcp relay server-ip 192.168.160.1  #DHCP中继所代理的DHCP服务器的IP地址

八、DHCP 中继测试

PC5

PC>ipconfig

已成功获取IP地址

PC6

PC>ipconfig

已成功获取IP地址

PC5 PING 测 PC6

PC>ping 192.168.100.252

由以上输出结果可知，可PING测通。

抓包

DHCP Discover

DHCP Offer

DHCP request

DHCP Ack

九、DHCP snooping

9.1 定义

DHCP Snooping是DHCP的一种安全特性，用于保证DHCP客户端从合法的DHCP服务器获得IP地址，并记录DHCP客户端IP地址与MAC地址等参数的对应关系，防止网络上针对DHCP服务的攻击。

9.2 基本功能：

（1）信任功能：能够保证客户端从合法的服务器获取 IP 地址。DHCP Snooping 信任功能将接口分为信任接口和非信任接口：
a）信任接口正常接收 DHCP 服务器响应的DHCP ACK、DHCP NAK 和 DHCP Offer报文。
b）非信任接口在接收到 DHCP 服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文后，丢弃该报文。

9.3 应用场景

（1）防止DHCP服务器的仿冒者攻击

攻击原理：由于 DHCP Server 和 DHCP Client 之间没有认证机制，所以如果在网络上随意添加一台 DHCP 服务器，它就可以为客户端分配以及其他网络参数。如果该 DHCP 服务器为用户分配错误的 IP 地址和其他网络参数，将会对网络造成非常大的危害。
解决方法：为了防止 DHCP Server 仿冒者攻击，可配置设备接口的“信任（Trusted）/非信任（Untrusted）”工作模式。将与合法 DHCP 服务器直接或间接连接的接口设置为信任接口，其他接口设置为非信任接口。此后，从“非信任（Untrusted）”接口上收到的 DHCP 回应报文将被直接丢弃，这样可以有效防止 DHCP Server 仿冒者的攻击。

[LSW1]int g0/0/1
[LSW1-GigabitEthernet0/0/1]dhcp snooping enable
[LSW1-GigabitEthernet0/0/1]dhcp snooping trusted

（2）防止DHCP报文泛洪攻击

攻击原理：在DHCP网络环境中，若存在DHCP用户短时间内向设备发送大量的DHCP报文，将会对设备的性能造成巨大的冲击以致可能会导致设备无法正常工作。

解决方法：通过使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能将能够有效防止DHCP报文泛洪攻击。

[LSW1]dhcp snooping enable
[LSW1]dhcp snooping check dhcp-rate enable
[LSW1]vlan 100
[LSW1-vlan100]dhcp snooping check dhcp-rate enable

（3）防止DHCP服务器拒绝服务攻击（饿死攻击）

攻击原理：若R2设备接口 int g0/0/1下存在大量攻击者恶意申请 IP 地址，会导致 DHCP Server 中 IP 地址快速耗尽而不能为其他合法用户提供 IP 地址分配服务。另一方面，DHCP Server 通常仅根据 DHCP Request报文中的 CHADDR（Client Hardware Address）字段来确认客户端的MAC 地址。如果某一攻击者通过不断改变 CHADDR字段向 DHCP Server申请 IP 地址，同样将会导致 DHCP Server 上的地址池被耗尽，从而无法为其他正常用户提供 IP 地址。

解决方法：限制SW的每个接口下PC通过DHCP获取地址的数量

[R2]dhcp snooping max-user-number 100
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]dhcp snooping max-user-number 100

（4）防止仿冒DHCP报文攻击

攻击原理：在DHCP中，若攻击者仿冒合法用户的DHCP Request报文发往DHCP Server，将会导致用户的IP地址租约到期之后不能够及时释放，以致合法用户无法使用该IP地址，若攻击者仿冒合法用户的DHCP Release报文发往DHCP Server，将会导致用户异常下线。

解决方法：为了有效的防止仿冒 DHCP 报文攻击，可利用 DHCP Snooping 绑定表的功能。设备通过将 DHCP Request 续租报文和 DHCP Release 报文与绑定表进行匹配操作能够有效的判别报文是否合法（主要是检查报文中的 VLAN、IP、MAC、接口信息是否匹配动态绑定表），若匹配成功则转发该报文，匹配不成功则丢弃。

[LSW1]dhcp snooping check dhcp-request enable vlan 100
[LSW1]dhcp snooping alarm threshold 100
[LSW1]int g0/0/2
[LSW1-GigabitEthernet0/0/2]dhcp snooping alarm dhcp-request threshold 100
[LSW1]vlan 100
[LSW1-vlan100]dhcp snooping check dhcp-request enable

（5）防止非DHCP用户攻击

手动配置IP地址的的用户的数据 SW不会转发

PC5 的 MAC-address：54-89-98-2E-1E-95

[R1-ip-pool-200]static-bind ip 192.168.200.99 mac-address 5489-982E-1E95

OK，本期就到这里了。

《周易》
天行健，君子以自强不息；地势坤，君子以厚德载物。

好了这期就到这里了，如果你喜欢这篇文章的话，请点赞评论分享收藏，如果你还能点击关注，那真的是对我最大的鼓励。谢谢大家，下期见！