DHCP snooping
DHCP snooping基本功能简介:
DHCP snooping是DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)的一种安全特性,主要具有如下两种功能:
1.记录DHCP客户端MAC地址与IP地址的对应关系:
出于安全性的考虑,网络管理员可能需要记录用户上网时所用的IP地址,确认用户主机MAC地址和从DHCP服务器获取的IP地址的对应关系。
DHCP snooping通过监听DHCP请求报文和信任端口收到的DHCP应答报文,记录DHCP客户端的MAC地址以及获取到的IP地址。管理员可以通过DHCP snooping记录的绑定表项,来查看DHCP客户端获取的IP地址信息。
2.保证客户端从合法的服务器获取IP地址:
如果网络中存在私自假设的DHCP服务器,则DHCP客户端可能获取到错误的IP地址,导致通信异常或存在安全隐患。为保证DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP snooping功能允许将端口配置为信任端口或非信任端口:
(1)信任端口是与合法的DHCP服务器直接或间接连接的端口,信任端口对接收到的DHCP响应报文正常转发,从而保证DHCP客户端可以获取正确的IP地址;
(2)非信任端口是不与合法的DHCP服务器直接或间接连接的端口,如果从非信任端口接收到DHCP服务器发送的DHCP响应报文,则会将其丢弃,从而防止DHCP客户端获取错误的IP地址。
DHCP snooping支持对Option82选项的添加,转发和管理,Option82选项是一个DHCP报文选项,这个选项用于记录DHCP客户端的位置信息,管理员可以根据这个选项定位DHCP客户端,从而进行一些安全控制,比如限制某个端口或VLAN所能分配的IP地址个数等。根据DHCP报文类型的不同,对Option82选项的处理方式也不同:
1.当设备接收到的DHCP请求报文后,将根据报文中是否包含Option82选项以及用户配置的处理策略及填充格式对报文进行相应处理,并将处理后的报文转发给DHCP服务器;
2.当设备接收到DHCP服务器的响应报文时,如果报文中包含Option82选项,则删除Option82选项,并转发给DHCP客户端;如果报文中不包含Option82选项,则直接转发给DHCP客户端。
配置DHCP snooping基本功能:
DHCP snooping基本功能包括使能DHCP snooping功能,配置端口信任状态和DHCP报文限速功能。
配置条件:无
配置DHPC snooping功能:
使能DHCP snooping功能后,会对设备所有端口接收到的DHCP报文进行监控;
1.对接收到的请求报文,会依据报文中的信息生成相应的绑定表项;
2.对从信任端口接收到的应答报文,会更新对应绑定表项的状态及租约时间;
3.对从非信任端口接收到的应答报文,会直接将其丢弃。
进入全局配置模式: configure terminal
使能DHCP snooping功能: dhcp-snooping
缺省情况下,DHCP snooping功能处于禁用状态
配置端口信任状态:
为防止DHCP客户端从非法DHCP服务器获取地址,可通过配置与合法服务器直接或间接连接的端口为信任端口。
当端口配置为信任端口后,才允许DHCP响应报文正常转发;否则,将DHCP响应报文丢弃。
进入全局配置模式: configure terminal
进入二层以太接口配置模式: interface interface-name
进入二层以太接口配置模式后,后续配置只在当前端口生效;进入汇聚组配置模式后,后续配置只在汇聚组生效
进入汇聚组配置模式: link-aggregation link-aggregation-id
配置端口信任状态: dhcp-snooping trust
缺省情况,所有的端口均为非信任端口
说明:
1.与DHCP服务器相连的端口,需配置成信任端口,否则DHCP客户端无法获取到地址。
2.在端口被配置成信任端口后,就不会对通过该端口的DHCP报文速率进行限制。
3.将端口状态由信任端口改为非信任端口后,该端口的速率限制上限值为缺省值40.
配置DHCP snooping限速功能:
配置DHCP snooping限速功能可以对每秒处理的DHCP报文数目进行限制,避免系统由于长期处理DHCP报文,导致其他协议报文无法及时得到处理;
当一秒钟内收到的DHCP报文数目超过速率上限值时,后续DHCP报文会被丢弃。如果端口连续20秒收到的DHCP报文都超速,则会将相应端口关闭,来隔绝报文冲击源。
进入全局配置模式: configure terminal
进入二层以太接口配置模式: interface interface-name
进入二层以太接口配置模式后,后续配置只在当前端口生效;进入汇聚组配置模式后,后续配置只在汇聚组生效
进入汇聚组配置模式: link-aggregation link-aggregation-id
配置DHCP snooping限速功能: dhcp-snooping rate-limit limit-value
缺省情况,DHCP报文速率上限值为40pps
说明:
1.在汇聚组配置模式下配置DHCP报文速率上限值后,该汇聚组的每一个成员端口的DHCP报文速率上限值均为该值。
2.DHCP报文限速功能只对非信任端口生效,对信任端口不生效。
3.端口被自动关闭后,可通过配置Error-Disable将端口自动启用。缺省情况下,端口自动关闭功能处于使能状态;如果端口连续20秒收到的DHCP报文都超速,但未能将相应端口自动关闭。
Error-Disable管理简介:
Error-Disable功能是一种端口上的错误检测与故障恢复机制。
在端口上出现的异常情况,可能会导致整个网络性能下降或者瘫痪。使用Error-Disable功能可以把这些异常情况限制在单台设备或者局部网络范围内,避免影响其它正常工作的端口以及扩散异常情况。
在一个端口处于开启状态的情况下,当在这个端口上检测到异常情况时,这个端口会被自动关闭,使得这个端口不再继续转发报文,换句话说,当在这个端口上触发某种错误条件时,这个端口会被自动禁用,这种情况被称为Error-Disable管理功能,并且这时的端口状态被称为Error -Disabled状态。当前支持以下功能:风暴抑制,端口安全,链路震荡,DHCP限速,BPDU Guard,ARP检测,L2协议隧道,环回检测,OAM网管,Monitor Link。
当上述功能在端口上检测到异常情况时,这个端口会被自动关闭并且设置为Error-Disabled状态。但是,这种状态不能一直持续下去,等到故障解除之后需要重新启用这个端口,并且清楚端口的Error-Disabled状态,使得这个端口继续转发报文。这里就涉及Error-disable管理功能的自动恢复机制。
配置DHCP snooping绑定表项存储:
DHCP snooping功能支持绑定表项自动或手动存储到指定路径中,如果设备重启,可恢复已存储的绑定表项,避免因绑定表项丢失而影响通信。指定路径可以是设备FLASH,FTP服务器或TFTP服务器。
配置条件:
在配置绑定表项存储路径为FTP/TFTP服务器之前,首先完成以下任务:
1.FTP/TFTP服务器端,正常启用了FTP/TFTP服务器功能;
2.设备可以ping通FTP/TFTP服务器端的IP地址。
配置DHCP snooping绑定表项自动存储:
DHCP snooping绑定表项可配置为自动存储模式,即系统自行定时对绑定表项进行存储。系统会周期性地对绑定表项进行刷新,检测绑定表项是否存在更新,如存在更新,需在存储时延到时后,才将更新后的表项存储到指定路径中。存储时延可防止和控制因表项不断更新而导致系统频繁进行存储。
进入全局配置模式: configure terminal
配置DHCP snooping绑定表项自动存储
dhcp-snooping database savetype auto { flash file-name | ftp dest-ip-address ftp-username ftp-password file-name | tftp dest-ip-address file-name }
缺省情况,绑定表项存储模式为自动模式,存储路径为flash,存储文件名为“dhcpsp_binding.db”
配置绑定表项存储时延: dhcp-snooping database savedelay seconds
缺省情况,绑定表项存储时延为1800秒
配置绑定表项刷新时间间隔: dhcp-snooping database savepool seconds
缺省情况,绑定表项刷新时间间隔为30秒
配置DHCP snooping绑定表项手动存储:
DHCP snooping绑定表项可配置为手动存储模式,即须通过执行存储命令完成绑定表项的存储。
进入全局配置模式: configure terminal
配置DHCP snooping绑定表项手动存储
dhcp-snooping database savetype manual { flash file-name | ftp dest-ip-address ftp-username ftp-password file-name | tftp dest-ip-address file-name }
缺省情况,绑定表项存储模式为自动模式,存储路径为flash,存储文件名为“dhcpsp_binding.db”
配置存储绑定文件: dhcp-snooping database save
将绑定表项存储到指定路径中,缺省情况,绑定表项未存储到指定路径中
DHCP snooping监控与维护
clear dhcp-snooping database { interface interface-list | link-aggregation link-aggregation-id | mac-address | all }
清除绑定表项
clear dhcp-snooping packet statistics [ interface interface-name | link-aggregation link-aggregation-id ]
清除收发DHCP报文统计信息
show dhcp-snooping [ interface interface-name | link-aggregation link-aggregation-id | save ]
显示DHCP snooping的配置信息
show dhcp-snooping database [ | { { begin | exclude | include } expression | redirect { file file-name | ftp [ vrf vrf-name ] { hostname | dest-ip-address } ftp-username ftp-password file-name } } ] [ interface interface-name | link-aggregation link-aggregation-id [ | { { begin | exclude | include } expression | redirect { file file-name | ftp [ vrf vrf-name ] { hostname | dest-ip-address } ftp-username ftp-password file-name } } ] ]
显示DHCP snooping绑定表项信息
show dhcp-snooping packet statistics [ interface interface-name | link-aggregation link-aggregation-id ]
显示收发DHCP报文的统计信息
配置DHCP snooping的基本功能
网络需求:
1.DHCP Server1为合法的DHCP服务器,DHCP Server2为非法的DHCP服务器。
2.配置DHCP snooping功能后,PC1和PC2均只能从DHCP Server1获取地址。
网络拓扑:
配置步骤
步骤1:
在Device上配置VLAN和端口的链路类型。
#创建VLAN2。
Device#configure terminal
Device(config)#vlan 2
Device(config-vlan2)#exit
#配置端口gigabitethernet0/1~ gigabitethernet0/3的链路类型为Access,允许VLAN2的业务通过。
Device(config)#interface gigabitethernet 0/1-0/3
Device(config-if-range)#switchport mode access
Device(config-if-range)#switchport access vlan 2
Device(config-if-range)#exit
步骤2:
配置DHCP Server1的地址池为192.168.1.100~192.168.1.199和DHCP Server2的地址池为192.168.2.100~192.168.2.199。(略)
步骤3:
在Device上配置DHCP snooping功能。
#使能DHCP snooping功能。
Device(config)#dhcp-snooping
#配置端口gigabitethernet0/2为信任端口。
Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#dhcp-snooping trust
Device(config-if-gigabitethernet0/2)#exit
步骤4:
检验结果。
#PC1和PC2成功获取地址后,在Device上查看DHCP snooping表项。
Device#show dhcp-snooping database
dhcp-snooping database:
database entries count:2
database entries delete time :300
---------------------------------
macAddr ipAddr transtion-id vlan interface leaseTime(s) status
0013.0100.0002 192.168.1.101 1 2 gi0/1 107990 active
0013.0100.0001 192.168.1.100 0 2 gi0/1 107989 active
Total valid DHCP Client binding table for this criterion: 2
PC1、PC2均只能从DHCP Server1获取地址。
DHCP snooping相关推荐
- ip dhcp snooping
DHCP监听将交换机端口划分为两类: ●非信任端口:通常为连接终端设备的端口,如PC,网络打印机等 ●信任端口:连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口 一.DHCP ...
- (一)Cisco DHCP Snooping原理(转载)
采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址.掩码.默认网关.DNS服务器等网络参数,简化了网络配置,提高了管理效率.但在DHCP服务的管理上存在一些问题,常见的有: ●D ...
- dhcp snooping+IPSG的一些理解
dhcp snooping是一种dhcp安全特性,能够过滤来自网络中主机或其他设备的非信任dhcp报文,通过建立并维护dhcp binding表. DHCP snooping 建立DHCP bindi ...
- 使用交换机的dhcp snooping拒绝非法dhcp服务
我在2010年8月的时候,在陕西某化工集团做了一个园区网的项目,记得当时整个园区的大的架构做完以后,甲方要求,宿舍楼的网络要求做出更改,由原来的静态的分配ip地址变更为DHCP自动获取. 其实此次变更 ...
- (五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)...
试验拓扑 环境:dhcp server和dhcp客户端属于同vlan,但是客户端属于不同的交换机,在L2和L3交换机开启dhcp snooping后得出如下结论 L3交换机的配置 ip dhcp po ...
- DHCP的基本介绍以及在HC3上配置DHCP中继和DHCP snooping
一.DHCP简介 DHCP全称是 Dynamic Host Configuration Protocol﹐中文名为动态主机配置协议,它的前身是 BOOTP,它工作在OSI的应用层,是一种帮助计算机从指 ...
- DAI、DHCP SNOOPING、ip source guard、IPSG
switch 3560上做安全: 模型:R1 and R2 (dhcp client )-->SW 3560-->R3(dhcp server)所有设备在同一个VLAN. R1 and ...
- CCIE-LAB-第五篇-DHCP+DHCP-Realy+DHCP snooping
CCIE-LAB-第五篇-DHCP+DHCP-Realy+DHCP snooping 实际中,思科只会给你5个小时去做下面的全部配置 这个是CCIE-LAB的拓扑图 问题 翻译: 第1.5节:针对HQ ...
- 开启Cisco交换机DHCP Snooping功能
5.多交换机环境(DHCP服务器和DHCP客户端位于同一VLAN) 环境:3560交换机自身作为DHCP服务器;PC1和PC2都位于vlan 10;PC1接3560的fa0/1口,PC2接2960的f ...
- dhcp snooping华为_使用DHCP snooping 功能防止DHCP Server仿冒者攻击(华为交换机)
在全局视图和VLAN视图下使能DHCP Snooping. [Quidway]dhcp enable [Quidway]dhcp snooping enable [Quidway]vlan 11 [Q ...
最新文章
- Java虚拟机的研究与实现
- 1.关于UltraEdit中的FTP和Tenent配置,UE远程连接Linux进行文件操作
- Apache Tika:通用的内容分析工具
- 好书推荐 -《国富论》-15-09
- python 支付宝支付 无效根证书_Python-支付宝SDK的使用与注意事项,pythonalipaysdk,及,点...
- 【Negix】Nginx 面试 一些题目
- 三维旋转矩阵_旋转之一 - 复数与2D旋转
- mysql怎么绿化绿化_Windows下MySQL的绿化与精简
- 卸载java_Java面试必备——类的加载过程
- JMeter 修改字体大小
- stm32 JTAG做普通io口(来自www.ourdev.com)
- python抓取下载https://unsplash.com/的图片
- 阿里云对象存储OSS简单使用
- ALSA子系统(十三)------snd_pcm_hw_refine硬件参数重定义
- SSH攻击ip列表【不定时更新】
- 群体智能算法:细菌觅食算法
- ISO/IEC 5055:软件代码质量的标尺
- 图解 深入浅出JavaWeb:事务必会必知
- 小程序源码:网课查题微信小程序源码下载,题库资源丰富自动采集,支持语音拍照识别
- 通过微博名查看id html,微博id在哪里查看?
热门文章
- NPDP认证|如何实现产品的组合管理?
- 【医学+深度论文:F23】2018 symmetry Dense Fully Convolutional Segmentation of the Optic Disc and
- 【JavaWeb】认证授权(一)—— Session、JWT
- 【车载以太网】【架构】以太网的分层架构_汽车以太网标准化组织介绍
- 最新: ChatGPT大模型对经济学研究的影响
- FOT基于Extended-RIC模型的参数估计说明
- 美国财政部长称勒索软件对经济构成威胁、谷歌警示20亿Chrome用户|10月22日全球网络安全热点
- mysql的or和and的组合使用,以及空和非空值的判断
- 【机器学习】P问题、NP问题、NP-hard、NP-C问题解析与举例理解
- Removing Columns