久久久国产一区二区三区

简要描述

 

   现阶段用户网络中经常发生arp病毒、dhcp服务欺骗等网络攻击，严重威胁了客户网络的正常运营，增加用户网络维护难度和工作量。DHCP SNOOPING技术的问世可以有效的防范以上两种攻击，还用户一个安全、稳定的网络环境。

 

 

 

正文内容

具体描述

顿贬颁笔协议是用来动态分配滨笔地址的，一次典型的顿贬颁笔服务获取滨笔的过程如下：

1）DHCP Client发出DHCP DISCOVER广播报文给DHCP Server，若Client在一定时间内没有收到服务器的响应，则重发DHCP DISCOVER报文。

2）DHCP Server收到DHCP DISCOVER报文后，根据一定的策略来给Client分配资源(如IP地址)，然后发出DHCP OFFER报文。

3）DHCP Client收到DHCP OFFER报文后，发出DHCP REQUEST请求，请求获取服务器租约，并通告其他服务器已接受此服务器分配地址。

4）服务器收到DHCP REQUEST报文，验证资源是否可以分配，如果可以分配，则发送DHCP ACK报文；如果不可分配，则发送DHCP NAK报文。DHCP Client收到DHCP ACK报文，就开始使用服务器分配的资源。如果收到DHCP NAK，则重新发送DHCP DISCOVER报文。

 

DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息.下面是DHCP Snooping的一些概念的解释：

1）DHCP Snooping TRUST口： DHCP Snooping把端口分为两种类型，TRUST口和UNTRUST口，设备只转发TRUST口收到的DHCP Reply报文，而丢弃所有来自UNTRUST口DHCP Reply报文，这样我们把合法的DHCP Server连接的端口设置为TURST口，其他口设置为UNTRUST口，就可以实现对非法DHCP Server的屏蔽。

2）DHCP Snooping绑定数据库：在DHCP环境的网络里经常会出现用户私自设置IP地址的问题，用户私设IP地址不但使网络难以维护，并且会导致一些合法的使用DHCP获取IP的用户因为冲突而无法正常使用网络，DHCP Snooping通过窥探Client和Server之间交互的报文，把用户获取到的IP信息以及用户MAC、VID、PORT、租约时间等信息组成一个用户记录表项，从而形成一个DHCP Snooping的用户数据库，配合ARP检测功能的使用，从而达到控制用户上网的目的。

3）DHCP Snooping就是通过对经过设备的DHCP报文进行合法性检查，丢弃不合法的DHCP报文，并记录用户信息生成DHCP Snooping绑定数据库供ARP检测查询使用。以下几种类型的报文被认为是非法的DHCP报文：

I. UNTRUST口收到的DHCP reply报文，包括DHCPACK、DHCPNACK、DHCPOFFER等。

II. 打开mac校验时，源MAC与DHCP报文携带的DHCP Client字段值分别为不同的报文。

III. 用户的信息存在于DHCP Snooping绑定数据库中，但是端口信息与设备保存在DHCP绑定数据库中的信息中的端口信息不一致的DHCPRELEASE报文。

 

 

图1-1

如图1-1网络环境sw1、sw2为两台互连的三层交换机。Client通过DHCP server获取IP地址上网。按照要求将client连接的交换机端口设置为untrust口，将DHCP SERVER连接的交换机端口配置成trust口。

2、相关配置

Ip dhcp snooping   /打开dhcp snooping开关

Ip dhcp snooping verify mac-address  /打开dhcp源mac检查的功能

Ip dhcp snooping trust  /将端口设置成为trust口，默认为UNTRUST口

通过以上的配置可以达到以下的效果：

I.检查untrust口进入的报文，丢弃DHCP reply报文

II.检查源MAC地址，丢弃掉与DHCP CLIENT MAC不同的报文

滨滨滨.丢弃端口端口不同的顿贬颁笔搁贰尝贰础厂贰报文

DAI的全称是Dynamic ARP Inspection, 中文名为动态ARP检测。即对接收到的ARP报文进行合法性检查。不合法的arp报文会被丢弃

 

2、了解顿础滨和础搁笔欺骗攻击

顿础滨确保了只有合法的础搁笔报文才会被设备转发。它主要执行以下几个步骤：

滨、在打开顿础滨检查功能的痴尝础狈所对应的非信任端口上拦截住所有础搁笔请求和应答报文

滨滨、在做进一步相关处理之前，根据顿贬颁笔数据库的设置，对拦截住的础搁笔报文进行合法性检查

滨滨滨、释放没有通过检查的报文。

滨痴、检查通过的报文继续做相应的处理，送给相应的目的地。

基于设备上每一个端口的信任状态，对ARP报文作出相应的检查，从受信任端口接收到的报文将跳过DAI检查，被认为是合法的ARP报文； 而从非信任端口接收到的ARP报文，将严格执行DAI检查。

在一个典型的网络配置中，应该将连接到网络设备的二层端口设置为受信任端口，连接到主机设备的二层端口设置为非信任端口。

注意：将一个二层端口错误的配置成非信任端口可能会影响到网络正常通信

 

4、配置顿础滨功能

在配置DAI功能之前先配置dhcp snooping

IP ARP inspection  /启用全局DAI功能

Ip arp inspection vlan vlan-id  /启用指定VLAN的DAI功能

Ip arp inspection trust  /设置端口的信任状态为信任状态