dhcp snooping华为_华为防火墙配置DHCP Snooping保护DHCP服务器
该楼层疑似违规已被系统折叠 隐藏此楼查看此楼
DHCP Snooping是一种DHCP安全特性,通过MAC地址限制、DHCP Snooping安全绑定、IP + MAC绑定、Option82特性等功能过滤不信任的DHCP消息,解决了设备应用DHCP时遇到DHCP DoS攻击、DHCP Server仿冒攻击、ARP中间人攻击及IP/MAC Spoofing攻击的问题。
组网需求
如图1所示,USG作为DHCP Relay,部署在DHCP Client和DHCP Server之间,避免网络受到各种DHCP攻击。
防止的攻击类型如下:
DHCP Server仿冒者攻击
中间人攻击与IP/MAC Spoofing攻击
改变CHADDR值的DoS攻击
仿冒DHCP续租报文攻击
发送DHCP Request报文攻击
图1 配置设备的DHCP Snooping功能组网图
网络规划
根据网络情况和需求,网络规划如下:
为了防范各种DHCP攻击,需要在全局视图和接口视图下开启DHCP Snooping功能。
为了避免受到DHCP Server仿冒者的攻击,需要把用户侧的接口配置为Untrusted模式,把DHCP Server侧的接口配置为Trusted模式,所有从Untrusted接口收到的DHCP Relay报文全部丢弃。
为了避免受到中间人与IP/MAC Spoofing攻击,需要使用DHCP Snooping绑定功能,只有接收到报文的信息和绑定表中的内容一致才会被转发,否则报文将被丢弃。
为了避免受到攻击者改变CHADDR值的攻击,需要检查DHCP Request报文中的CHADDR字段。如果该字段跟数据帧头部的源MAC相匹配,便转发报文;否则,丢弃报文。
为了避免受到攻击者仿冒DHCP续租报文进行攻击,需要检查DHCP Request报文和使用DHCP Snooping绑定功能,只有接收到的报文的信息和绑定表中的内容一致才会被认为是正常的申请报文,报文被转发,否则报文将被丢弃。
为了避免DHCP Request报文攻击,可以配置DHCP上送速率检查。
在DHCP报文被大量丢弃时,配置设备向网管的告警的功能,以便管理员及时了解情况,采取对应措施。
操作步骤
1配置DHCP Relay功能,实现网络的DHCP功能。
# 配置接口GigabitEthernet 0/0/2的IP地址。
system-view
[USG] sysname DHCP-Relay
[DHCP-Relay] interface GigabitEthernet 0/0/2
[DHCP-Relay-GigabitEthernet 0/0/2] ip address 100.1.1.1 24
[DHCP-Relay-GigabitEthernet 0/0/2] quit
# 在接口GigabitEthernet 0/0/1上配置DHCP Relay功能,使其和DHCP Client属于同一个网段。
[DHCP-Relay] interface GigabitEthernet 0/0/1
[DHCP-Relay–GigabitEthernet 0/0/1] ip address 10.1.1.1 24
[DHCP-Relay-GigabitEthernet 0/0/1] dhcp select relay
[DHCP-Relay-GigabitEthernet 0/0/1] ip relay address 100.1.1.2
2 开启DHCP Snooping功能。
# 启用全局和接口的DHCP Snooping功能。
[DHCP-Relay] dhcp snooping enable
[DHCP-Relay] interface GigabitEthernet 0/0/1
[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping enable
[DHCP-Relay-GigabitEthernet0/0/1] quit
[DHCP-Relay] interface GigabitEthernet 0/0/2
[DHCP-Relay-GigabitEthernet0/0/2] dhcp snooping enable
[DHCP-Relay-GigabitEthernet0/0/2] quit
3 配置Trusted接口,防止DHCP Server仿冒者攻击。
# 将连接DHCP Server侧的接口配置为“Trusted”,将连接DHCP Client侧的接口设置为“Untrusted”(接口上启用DHCP Snooping功能后,接口模式默认为“Untrusted”)。
[DHCP-Relay] interface GigabitEthernet 0/0/2
[DHCP-Relay-GigabitEthernet0/0/2] dhcp snooping trusted
[DHCP-Relay-GigabitEthernet0/0/2] quit
4 配置对特定报文的检查和DHCP Snooping绑定表。
# 在DHCP Client侧的接口进行ARP报文和IP报文检查,这样可以防止中间人攻击与IP/MAC Spoofing攻击。
[DHCP-Relay] interface GigabitEthernet 0/0/1
[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping check arp enable
[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping check ip enable
[DHCP-Relay-GigabitEthernet0/0/1] quit
# 在DHCP Client侧的接口进行DHCP Request报文检查,这样可以防止仿冒DHCP续租报文的攻击。
[DHCP-Relay] interface GigabitEthernet 0/0/1
[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping check dhcp-request enable
[DHCP-Relay-GigabitEthernet0/0/1] quit
# 在DHCP Client侧的接口进行CHADDR检查,这样可以防止改变CHADDR值的DoS攻击。
[DHCP-Relay] interface GigabitEthernet 0/0/1
[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping check dhcp-chaddr enable
[DHCP-Relay-GigabitEthernet0/0/1] quit
5 配置DHCP上送速率限制,防止DHCP Request报文攻击。
# 配置DHCP上送速率检查,这样可以防止DHCP Request报文攻击。
[DHCP-Relay] dhcp snooping check dhcp-rate 90
[DHCP-Relay] dhcp snooping check dhcp-rate enable
6 配置Option82功能。
# 配置DHCP报文中携带接口信息,以便建立精确的绑定表信息。
[DHCP-Relay] interface GigabitEthernet 0/0/1
[DHCP-Relay-GigabitEthernet0/0/1] dhcp option82 insert enable
[DHCP-Relay-GigabitEthernet0/0/1] quit
7 配置丢弃没有表项的报文,保证网络的安全。
# 配置对全局ARP报文和IP报文的转发行为。
[DHCP-Relay] dhcp snooping nomatch-packet arp action discard
[DHCP-Relay] dhcp snooping nomatch-packet ip action discard
# 配置对接口ARP报文和IP报文的转发行为。
[DHCP-Relay] interface GigabitEthernet 0/0/1
[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping nomatch-packet arp action discard
[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping nomatch-packet ip action discard
[DHCP-Relay-GigabitEthernet0/0/1] quit
8 配置向网管告警功能。
# 开启向网管告警。
[DHCP-Relay] interface GigabitEthernet 0/0/1
[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-reply enable
[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping alarm arp enable
[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-chaddr enable
[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-request enable
[DHCP-Relay-GigabitEthernet0/0/1] quit
[DHCP-Relay] dhcp snooping check dhcp-rate alarm enable
# 配置告警阈值。
[DHCP-Relay] interface GigabitEthernet 0/0/1
[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-reply threshold 10
[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping alarm arp threshold 10
[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-chaddr threshold 10
[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-request threshold 10
[DHCP-Relay-GigabitEthernet0/0/1] quit
[DHCP-Relay] dhcp snooping check dhcp-rate alarm threshold 40
结果验证
在DHCP-Relay上执行display dhcp snooping global命令可以看到全局和接口视图下已经开启DHCP Snooping功能,并查看向网管告警的统计信息。
[DHCP-Relay] display dhcp snooping global
dhcp snooping enable
dhcp snooping nomatch-packet ip action discard
dhcp snooping nomatch-packet arp action discard
dhcp snooping check dhcp-rate enable
dhcp snooping check dhcp-rate alarm enable
dhcp snooping check dhcp-rate 90
dhcp snooping check dhcp-rate alarm threshold 40
查看DHCP Snooping绑定表的表项信息。
[DHCP-Relay] display dhcp snooping bind-table static
bind-table:
ifname vrf vsi p/cvlan mac-address ip-address tp lease
-------------------------------------------------------------------------------
GE0/0/1 0000 - 0000/0000 00e0-fc5e-008a 010.001.001.001 S 0
-------------------------------------------------------------------------------
binditem count: 1 binditem total count: 1 显示接口上的DHCP Snooping相关信息。
[DHCP-Relay] display dhcp snooping interface GigabitEthernet 0/0/1
dhcp snooping enable
dhcp snooping check arp enable
dhcp snooping alarm arp enable
dhcp snooping alarm arp threshold 10
dhcp snooping nomatch-packet arp action discard
dhcp snooping check ip enable
dhcp snooping nomatch-packet ip action discard
dhcp snooping alarm dhcp-reply enable
dhcp snooping alarm dhcp-reply threshold 10
dhcp snooping check dhcp-chaddr enable
dhcp snooping alarm dhcp-chaddr enable
dhcp snooping alarm dhcp-chaddr threshold 10
dhcp snooping check dhcp-request enable
dhcp snooping alarm dhcp-request enable
dhcp snooping alarm dhcp-request threshold 10
arp total 0
ip total 0
dhcp-request total 0
chaddr&src mac total 0
dhcp-reply total 0
[DHCP-Relay] display dhcp option82 interface GigabitEthernet 0/0/1
dhcp option82 insert enable interface GigabitEthernet0/0/1
[DHCP-Relay] display dhcp snooping interface GigabitEthernet 0/0/2
dhcp snooping enable
dhcp snooping trusted
arp total 0
ip total 0
dhcp-request total 0
chaddr&src mac total 0
dhcp-reply total 0
dhcp snooping华为_华为防火墙配置DHCP Snooping保护DHCP服务器相关推荐
- dhcp snooping华为_华为交换机dhcp snooping 功能配置
华为核心交换机:S5720S-36C-EI-AC 管理IP:172.30.5.1 华为桌面交换机:S5700S-52P-LI-AC 管理IP:172.30.5.10 核心交换机24聚合与桌面交换机47 ...
- dhcp snooping华为_华为交换机DHCP snooping
配置思路 1.使能DHCP Snooping功能. 2.配置接口的信任状态,以保证客户端从合法的服务器获取IP地址. 3.使能ARP与DHCPSnooping的联动功能,保证DHCP用户在异常下线时实 ...
- ac ap方案 华为_华为AC+AP无线的配置方法
<华为AC+AP无线的配置方法>由会员分享,可在线阅读,更多相关<华为AC+AP无线的配置方法(4页珍藏版)>请在人人文库网上搜索. 1.华为AC+AP无线配置方法组网示意图: ...
- ac ap方案 华为_华为AC+AP无线配置方法
. . 华为 AC+AP 无线配置方法 1) 正确配置 AC 使 AP 发放 SSID: " SSID-Temp1 "." SSID-Temp2 "和" ...
- ac ap方案 华为_华为AC+AP无线配置方法.docx
华为 AC+AP 无线配置方法 1) 正确配置 AC 使 AP 发放 SSID: " SSID-Temp1 "." SSID-Temp2 "和" SS ...
- 华为ONU IPv6防火墙配置不生效的问题
背景 最近在二手渠道购买了一台华为 B650-8E3W,拿到手之后配置好就放在公司用了.由于公司使用的电信宽带没有公网IPv4,只有公网IPv6,所以我们访问内部服务都是通过IPv6直连服务器.但前提 ...
- 华为USG系列防火墙配置-网页端登录管理
笔者测试的华为防火墙型号为:HUAWEI USG 6305. 华为USG防火墙默认有一个MGMT端口用来网页端配置管理,端口的IP一般默认是192.168.0.1,端口标识为MGMT,如果无独立MGM ...
- ac ap方案 华为_华为无线_AC+AP小型无线网络配置实验_v1
[如果在实验中有什么疑问,欢迎关注微信公众号"IT后院"给我留言,我会抽空回答你的问题] 华为无线-AC+AP小型无线网络配置实验_v1 网络结构图: 步骤一:配置网络连通性 SW ...
- 华为eNSP模拟器防火墙配置透明交换机实验
命令行配置 R1: sys un in en sysname R1 int e0/0/0 ip address 192.168.7.17 24 dis this quit dis ip int bri ...
最新文章
- 《强化学习周刊》第38期:DreamingV2、Shadow-price DRL、离线强化学习
- idea工具拉取GitHub远程代码
- python读取文件最后几行_如何用python获取文件的最后一行,文件可能会比较大
- 怎么在html页面和js里判断是否是IE浏览器
- 同学聚会 主持词_我主持freeCodeCamp聚会的三年来的成功和失败
- 求解数独难题, Sudoku问题(回溯)
- 上拉加载 php,jquery上拉加载代码及原理
- OSChina 周六乱弹 —— 表白有风险,装逼需谨慎
- 帆软模板中tooltip 提示框的使用
- media query学习笔记
- python自动补全快捷键_Python快捷键的干货来啦!快来看看你掌握了几个~
- python matpltlib实践——画直方图、折线图
- 计算机数据管理应用,浅析计算机数据库管理系统的应用.pdf
- 重温Spring笔记3 - 依赖注入
- php: 远程操作浏览器cookie存储入门
- java mysql 订单表设计
- 【Vue】Vue引入bootstrap的方法
- 一阶RC低通滤波电路数字化
- java怎么修改支付宝步数_支付宝怎么修改运动步数 刷步数方法
- android 路线导航偏航距简单业务逻辑实现