内容发布更新时间 : 2024/5/12 19:56:50星期一 下面是文章的全部内容请认真阅读。
DHCP Snooping配置
介绍DHCP Snooping的原理和配置方法,并给出配置举例。
配置DHCP Snooping的攻击防范功能示例
组网需求
如图9-13所示,SwitchA与SwitchB为接入设备,SwitchC为DHCP Relay。Client1与Client2分别通过GE0/0/1与GE0/0/2接入SwitchA,Client3通过GE0/0/1接入SwitchB,其中Client1与Client3通过DHCP方式获取IPv4地址,而Client2使用静态配置的IPv4地址。网络中存在非法用户的攻击导致合法用户不能正常获取IP地址,管理员希望能够防止网络中针对DHCP的攻击,为DHCP用户提供更优质的服务。 图9-13配置DHCP Snooping的攻击防范功能组网图
配置思路
采用如下的思路在SwitchC上进行配置。
1. 使能DHCP Snooping功能并配置设备仅处理DHCPv4报文。 2. 配置接口的信任状态,以保证客户端从合法的服务器获取IP地址。 3. 使能ARP与DHCP Snooping的联动功能,保证DHCP用户在异常下线时实时更新
绑定表。 4. 使能根据DHCP Snooping绑定表生成接口的静态MAC表项功能,以防止非DHCP
用户攻击。 5. 使能对DHCP报文进行绑定表匹配检查的功能,防止仿冒DHCP报文攻击。
6. 配置DHCP报文上送DHCP报文处理单元的最大允许速率,防止DHCP报文泛洪攻
击。 7. 配置允许接入的最大用户数以及使能检测DHCP Request报文帧头MAC与DHCP数
据区中CHADDR字段是否一致功能,防止DHCP Server服务拒绝攻击。
操作步骤
1. 使能DHCP Snooping功能。
# 使能全局DHCP Snooping功能并配置设备仅处理DHCPv4报文。
[SwitchC] dhcp snooping enable ipv4
# 使能用户侧接口的DHCP Snooping功能。以GE0/0/1接口为例,GE0/0/2的配置相同,此处省略。
[SwitchC] interface gigabitethernet 0/0/1
[SwitchC-GigabitEthernet0/0/1] dhcp snooping enable [SwitchC-GigabitEthernet0/0/1] quit
2. 配置接口的信任状态:将连接DHCP Server的接口状态配置为“Trusted”。
3. [SwitchC] interface gigabitethernet 0/0/3
4. [SwitchC-GigabitEthernet0/0/3] dhcp snooping trusted
[SwitchC-GigabitEthernet0/0/3] quit
5. 使能ARP与DHCP Snooping的联动功能。
[SwitchC] arpdhcp-snooping-detect enable
6. 使能根据DHCP Snooping绑定表生成接口的静态MAC表项功能。
# 在用户侧接口进行配置。以GE0/0/1接口为例,GE0/0/2的配置相同,此处省略。
[SwitchC] interface gigabitethernet 0/0/1
[SwitchC-GigabitEthernet0/0/1] dhcp snooping sticky-mac [SwitchC-GigabitEthernet0/0/1] quit
7. 使能对DHCP报文进行绑定表匹配检查的功能。
# 在用户侧接口进行配置。以GE0/0/1接口为例,GE0/0/2的配置相同,此处省略。
[SwitchC] interface gigabitethernet 0/0/1
[SwitchC-GigabitEthernet0/0/1] dhcp snooping check dhcp-request enable [SwitchC-GigabitEthernet0/0/1] quit
8. 配置DHCP报文上送DHCP报文处理单元的最大允许速率为90pps。
9. [SwitchC] dhcp snooping check dhcp-rate enable
[SwitchC] dhcp snooping check dhcp-rate 90
10. 使能检测DHCP Request报文中GIADDR字段是否非零的功能。
# 在用户侧接口进行配置。以GE0/0/1接口为例,GE0/0/2的配置相同,此处省略。
[SwitchC] interface gigabitethernet 0/0/1
[SwitchC-GigabitEthernet0/0/1] dhcp snooping check dhcp-giaddrenable [SwitchC-GigabitEthernet0/0/1] quit
11. 配置接口允许接入的最大用户数并使能对CHADDR字段检查功能。
# 在用户侧接口进行配置。以GE0/0/1接口为例,GE0/0/2的配置相同,此处省略。
[SwitchC] interface gigabitethernet 0/0/1
[SwitchC-GigabitEthernet0/0/1] dhcp snooping max-user-number 20 [SwitchC-GigabitEthernet0/0/1] dhcp snooping check dhcp-chaddrenable [SwitchC-GigabitEthernet0/0/1] quit
12. 配置丢弃报文告警和报文限速告警功能。
# 使能丢弃报文告警功能,并配置丢弃报文告警阈值。以GE0/0/1接口为例,GE0/0/2的配置相同,此处省略。
[SwitchC] interface gigabitethernet 0/0/1
[SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-chaddrenable [SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-request enable [SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-reply enable [SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-chaddr threshold 120
[SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-request threshold 120
[SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-reply threshold 120 [SwitchC-GigabitEthernet0/0/1] quit
# 使能报文限速告警功能,并配置报文限速告警阈值。
[SwitchC] dhcp snooping alarm dhcp-rate enable [SwitchC] dhcp snooping alarm dhcp-rate threshold 500
13. 验证配置结果
# 执行命令display dhcp snooping configuration查看DHCP Snooping的配置信息。
[SwitchC] display dhcp snooping configuration