DHCP-Snooping防止恶意DHCP与IP冲突耗尽可用资源
HUAWEI,网络技术
|
|
909
|
0

继上一篇博文 DHCP欺骗攻击概述

实现控制只能获取企业内部合法的DHCP服务分配的地址,而其余的DHCP服务器则不能通过。

DHCP的工作原理是最先响应的服务器,PC就获取该服务器分配的IP地址,这样的话有些恶意的人把网关指向自己的电脑,然后通过抓包工具等实现抓包分析等功能,这样造成不安全,另外就是网段不一致了,导致访问公司内网或外网出现问题,所以我们必须杜绝该问题的出现。

正常情况下,内网的用户都是通过内部部署的服务DHCP正确获取到IP地址,但是如果有一员工无意在接入层放了一台附带DHCP功能无线路由器等,那么导致下面的用户都会获取到该服务器提供的地址段,而不是实际网络规划好的。

基于DHCP基本配置的拓扑图

解决办法

[DHCP]dhcp snooping enable #全局 DHCP Snooping功能
[DHCP]int GigabitEthernet 0/0/1
[DHCP-GigabitEthernet0/0/1]dhcp snooping enable #在接入层的所有端口开启   
[DHCP-GigabitEthernet0/0/1]dhcp snooping trusted  #在接DHCP服务器或者中继端口开启端口信任,只有这个端口分配过来的IP才会接受
[DHCP-GigabitEthernet0/0/1]quit
[DHCP]display dhcp snooping ?
  configuration  Configuration 
  interface      Interface 
  user-bind      User bind 
  vlan           Virtual LAN 
  |              Matching output
  <cr>       
[DHCP]display dhcp snooping interface GigabitEthernet 0/0/1
 DHCP snooping running information for interface GigabitEthernet0/0/1 :
 DHCP snooping                            : Enable   
 Trusted interface                        : Yes     
 Dhcp user max number                     : 1024     (default)
 Current dhcp user number                 : 0       
 Check dhcp-giaddr                        : Disable  (default)
 Check dhcp-chaddr                        : Disable  (default)
 Alarm dhcp-chaddr                        : Disable  (default)
 Check dhcp-request                       : Disable  (default)
 Alarm dhcp-request                       : Disable  (default)
 Check dhcp-rate                          : Disable  (default)
 Alarm dhcp-rate                          : Disable  (default)
 Alarm dhcp-rate threshold                : 100     
 Discarded dhcp packets for rate limit    : 0       
 Alarm dhcp-reply                         : Disable  (default)

推荐开启 DAI功能+ip source guead源认证绑定

通过在设备接入用户侧的端口上启用IP Source Guard功能,可以对端口收到的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性。

IP Source Guard在端口上用于过滤报文的特征项包括:源IP地址、源MAC地址和VLAN标签。这些特征项可单独或组合起来与端口进行绑定,形成绑定表项,具体包括:IP、MAC、IP+MAC、IP+VLAN、MAC+VLAN和IP+MAC+VLAN。配置了IP Source Guard的端口接收到报文后查找IP Source Guard绑定表项,如果报文中的特征项与绑定表项中记录的特征项匹配,则端口转发该报文,否则做丢弃处理。绑定功能是针对端口的,一个端口配置了绑定功能后,仅该端口被限制,其他端口不受该绑定影响。

IP Source Guard的两种绑定方式

静态绑定:通过手工配置产生绑定表项来完成端口的控制功能,适用于局域网络中主机数较少或者需要为某台主机进行单独的绑定配置的情况;

动态绑定:通过自动获取DHCP Snooping或DHCP Relay的绑定表项来完成端口控制功能,适用于局域网络中主机较多,并且采用DHCP进行动态主机配置的情况,可有效防止IP地址冲突、盗用等问题。其原理是每当DHCP为用户分配一条表项时,动态绑定功能就相应地增加一条绑定表项以允许该用户访问网络。如果某个用户私自设置IP地址,会由于没有触发DHCP分配表项,导致动态绑定功能未增加相应的访问允许规则,使得该用户不能访问网络。

注意: 加入聚合组或加入业务环回组的端口上不能配置IP Source Guard功能,反之亦然。

[DHCP]interface GigabitEthernet 0/0/1
[DHCP-GigabitEthernet0/0/1]ip source check user-bind enable #使能IP报文检查功能
Info: Add permit rule for dynamic snooping bind-table, please wait a minute!done
[DHCP-GigabitEthernet0/0/1]

[DHCP-GigabitEthernet0/0/1]ip source check user-bind alarm enable # 接口配置IP报文检查告警功能
[DHCP-GigabitEthernet0/0/1]ip source check user-bind alarm threshold 200
[DHCP-GigabitEthernet0/0/1]quit

[DHCP]user-bind static ip-address 172.16.100.251 mac-address 5489-98AA-30AC inte
rface gigabitethernet 0/0/1 vlan 10
Info: 1 static user-bind item(s) added.

[DHCP]display dhcp snooping user-bind all

DHCP static Bind-table:,Flags:O - outer vlan ,I - inner vlan ,P - map vlan,
IP Address                      MAC Address     VSI/VLAN(O/I/P) Interface,
--------------------------------------------------------------------------------,
 172.16.100.251                        5489-98AA-30AC  10  /--  /--    GE0/0/1,
--------------------------------------------------------------------------------,
print count:           1          total count:           1,

从显示信息可知,PC1 已经配置为静态绑定表项

验证

!

上一篇
下一篇

推荐文章

HUAWEI 防火墙基础知识(二)
HUAWEI USG6000V 配置基于IP地址和端口的安全策略
HUAWEI 防火墙基础知识(一)
HUAWEI USG6000V 配置启用WEB管理
HUAWEI S5720 配置Mac黑洞
DHCP欺骗攻击概述
华为交换机之DHCP基本配置
SNMP OID获取与转换
配置H3C-S5560三层交换机端口镜像进行数据监测
华为链路状态型路由协议(OSPF)之多区域的配置