首先,dhcp Snooping 的核心作用是防止非法 DHCP 服务器的接入。在未启用 DHCP Snooping 的网络中,任何设备都可以充当 DHCP 服务器,向客户端分配 IP 地址,这不仅可能导致 IP 地址冲突,还可能使客户端获取到错误的网络配置,影响正常通信。通过启用 DHCP Snooping,交换机可以将端口分为信任端口和不信任端口。信任端口连接合法的 DHCP 服务器,允许正常转发 DHCP 报文;而不信任端口则对接收到的 DHCP-ACK 和 DHCP-OFFER 报文进行丢弃,防止非法服务器的干扰。
其次,DHCP Snooping 还能够记录客户端的 IP 地址与 MAC 地址的对应关系。通过监听 DHCP-REQUEST 报文和信任端口收到的 DHCP-ACK 报文,交换机会生成一张 DHCP Snooping 绑定表,表中包含客户端的 MAC 地址、获取到的 IP 地址、连接端口及所属 VLAN 等信息。这张表不仅有助于网络管理员进行故障排查,还为后续的 IP Source Guard 提供了基础数据。
IP Source Guard 则是基于二层接口的源 IP 地址过滤技术,旨在防止恶意主机伪造合法主机的 IP 地址进行网络攻击。它利用 DHCP Snooping 生成的绑定表,对二层接口上收到的 IP 报文进行匹配检查。只有匹配绑定表的报文才会被允许通过,不匹配的报文则会被丢弃。这样一来,即使恶意主机尝试伪造 IP 地址,也无法通过 IP Source Guard 的验证,从而确保了网络的安全性。
在实际配置中,网络管理员需要首先全局启用 DHCP Snooping,并将连接合法 DHCP 服务器的端口设置为信任端口,其他端口则默认为不信任端口。接着,通过配置静态绑定表,固定特定设备的 IP 地址和 MAC 地址的对应关系。最后,在需要保护的端口上启用 IP Source Guard,使其基于绑定表进行源 IP 地址的过滤。
总的来说,DHCP Snooping 和 IP Source Guard 的结合使用,为网络提供了双重保护,既防止了非法 DHCP 服务器的干扰,又有效遏制了 IP 地址伪造攻击,极大地提升了网络的安全性和可靠性。对于网络管理员而言,合理配置这两项技术,是保障网络安全的重要手段。
预备知识:
DHCP Snooping 是 DHCP 的一种安全特性,它的的作用是:
DHCP Snooping功能1:保证客户端从合法的服务器获取ip地址,网络中如果存在私自架设的伪 DHCP 服务器,则可能导致DHCP 客户端获取错误的IP地址和网络配置参数,无法正常通信。为了使 DHCP 客户端能通过合法的 DHCP 服务器获取IP地址,DHCP Snooping 安全机制允许路由器或交换机将端口设置
为信任端口和不信任端口:
信任端口—正常转发接收到的 DHCP 报文。连接合法DHCP 服务器、连接到上游交换机的Trunk口,接入到开启了DHCP Snooping功能的二层交换机的信任端口。
不信任端口—接收到 DHCP 服务器响应的 DHCP-ACK 和 DHCP-OFFER 报文后,丢弃该报文。连接普通工作站的交换机端口设置为不信任端口,IP Source Guard会在不信任端口收到的IP源报文进行过滤控制
DHCP Snooping功能2:记录 DHCP 客户端 IP 地址与 MAC 地址的对应关系,DHCP Snooping 通过监听 DHCP-REQUEST 报文和信任端口收到的 DHCP-ACK 报文,记录 DHCP Snooping 绑定表项,其中包括客户端的 MAC 地址、获取到的IP地址、与 DHCP 客户端连接的端口及该端口所属的VLAN 等信息。
IP 源防攻击(IP Source Guard)— 是一种基于二层接口的源 IP 地址过滤技术,它能够防止恶意主机伪造合法主机的 IP 地址来仿冒合法主机,
还能确保非授权主机不能通过自己指定 IP 地址的方式来访问网络或攻击网络。
IP Source Guard 利用绑定表(源 IP 地址、源 MAC 地址、所属 VLAN、入接口的绑定关系)去匹配检查二层接口上收到的 IP 报文,绑定表生成后,IPSG基于绑定表向指定的接口或者指定的 VLAN 下发 ACL,由该 ACL 来匹配检查所有 IP 报文(IPSG 只匹配检查主机发送的 IP 报文,包括 IPv4 和 IPv6 报文,对于 ARP、PPPoE 等非 IP 报文,IPSG 不做匹配检查)。主机发送的报文,只有匹配绑定表才会允许通过,不匹配绑定表的报文都将被丢弃。
# cisco 二层交换机 DHCP Snooping 、IP Source Guard 配置示例:
配置目的:二层交换机仅允许合法 DHCP 服务器分配了动态ip地址的工作站和指定了静态IP的合法工作站能够访问网络
ip dhcp snooping # 全局使能 snooping,执行此命令的目的是要使交换机所有端口都设置为不信任端口,并且产生dhcp snooping绑定表 ip source binding 0100.0022.0010 vlan 10 192.168.0.2 interface gigabitEthernet1/0/42 # 配置 interface gigabitethernet1/0/42 静态绑定表 interface GigabitEthernet1/0/40 # 此端口接 DHCP 服务器或上游交换机 switchport Access vlan 40 switchport mode access ip dhcp snooping trust # 将此接口设置为信任端口 interface gigabitethernet1/0/42 # 此端口接 DHCP 客户端或静态分配了合法ip的工作站 switchport access vlan 42 switchport mode access ip verify source port-security # 使能 IP source guard 用 源IP+源MAC 过滤ip包
# 华为 二层交换机 DHCP Snooping 、IP Source Guard 配置示例:
配置目的:二层交换机仅允许合法 DHCP 服务器分配了动态ip地址的工作站和指定了静态ip的合法工作站能够访问网络
# dhcp enable # 如果要执行"dhcp snooping enable",那么必须先执行此命令 # dhcp snooping enable # 全局使能 snooping,执行此命令的目的是要使交换机所有端口都设置为不信任端口,并且产生dhcp snooping绑定表 # user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 # 在 Switch 上配置静态绑定表,固定 IP 和 MAC 的绑定关系 user-bind static ip-address 10.0.0.11 mac-address 0002-0002-0002 # interface GigabitEthernet0/0/4 # 此端口接 DHCP 服务器或上游交换机 port link-type trunk dhcp snooping trusted # 设置 GE0/0/4 为信任接口,从该接口收到的报文不执行 IP Source Guard 检查 # interface GigabitEthernet0/0/1 # 此端口接 DHCP 客户端或静态分配了合法ip的工作站 port link-type access port default vlan 20 ipv4 source check user-bind enable # 使能 IP source guard 用 源IP+源MAC 过滤ip包 # interface GigabitEthernet0/0/2 # 此端口接 DHCP 客户端或静态分配了合法ip的工作站 port link-type access port default vlan 20 ipv4 source check user-bind enable # 使能 IP source guard 用 源IP+源MAC 过滤ip包
本站声明:网站内容来源于网络,如有侵权,请联系我们,我们将及时处理。
汇鑫科服隶属于北京通忆汇鑫科技有限公司, 成立于2007年,是一家互联网+、物联网、人工智能、大数据技术应用公司,专注于楼宇提供智能化产品与服务。致力服务写字楼内发展中的中小企业 ,2009年首创楼宇通信BOO模式,以驻地网运营模式为楼宇提供配套运营服务;汇鑫科服始终以客户管理效率为导向,一站式 ICT服务平台,提升写字楼办公场景的办公效率和体验;
