华为DHCP Snooping的攻击防范功能示例

已于 2023-11-22 16:55:48 修改
阅读量244 收藏
点赞数 1
文章标签: 华为 服务器 网络
于 2023-11-22 11:48:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77023501/article/details/134547912
版权

DHCP Snooping简介

定义

DHCP Snooping是DHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。

目的

目前DHCP协议(RFC2131)在应用的过程中遇到很多安全方面的问题,网络中存在一些针对DHCP的攻击,如DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。

为了保证网络通信业务的安全性,可引入DHCP Snooping技术,在DHCP Client和DHCP Server之间建立一道防火墙,以抵御网络中针对DHCP的各种攻击。

受益
  • 设备具有防御网络上DHCP攻击的能力,增强了设备的可靠性,保障通信网络的正常运行。
  • 为用户提供更安全的网络环境,更稳定的网络服务。

DHCP Snooping的基本原理

DHCP Snooping能够实现如下基本功能:

信任功能

DHCP Snooping的信任功能,能够保证客户端从合法的服务器获取IP(Internet Protocol)地址。

网络中如果存在私自架设的DHCP Server仿冒者,则可能导致DHCP客户端获取错误的IP地址和网络配置参数,无法正常通信。DHCP Snooping信任功能可以控制DHCP服务器应答报文的来源,以防止网络中可能存在的DHCP Server仿冒者为DHCP客户端分配IP地址及其他配置信息。

DHCP Snooping信任功能将接口分为信任接口和非信任接口:

  • 信任接口正常接收DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文。
  • 非信任接口在接收到DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文后,丢弃该报文。

说明

管理员在部署网络时,一般将与合法DHCP服务器直接或间接连接的接口设置为信任接口,其他接口设置为非信任接口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的DHCP Server仿冒者无法为DHCP客户端分配IP地址。

分析功能

开启DHCP Snooping功能后,设备能够通过分析DHCP的报文交互过程,生成DHCP Snooping绑定表,绑定表项包括客户端的MAC地址、获取到的IP地址、与DHCP客户端连接的接口及该接口所属的VLAN(Virtual Local Area Network)等信息。

DHCP Snooping绑定表根据DHCP租期进行老化或根据用户释放IP地址时发出的DHCP Release报文自动删除对应表项。

出于安全性的考虑,管理员需要记录用户上网时所用的IP地址,确认用户申请的IP地址和用户使用的主机的MAC地址的对应关系。在设备通过DHCP Snooping功能生成绑定表后,管理员可以方便的记录DHCP用户申请的IP地址与所用主机的MAC地址之间的对应关系。

由于DHCP Snooping绑定表记录了DHCP客户端IP地址与MAC地址等参数的对应关系,故通过对报文与DHCP Snooping绑定表进行匹配检查,能够有效防范非法用户的攻击。

为了保证设备在生成DHCP Snooping绑定表时能够获取到用户MAC等参数,DHCP Snooping功能需应用于二层网络中的接入设备或第一个DHCP Relay上。

拓扑 

配置步骤

LSW7配置 

LSW7 配置

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.	
[Huawei]undo info-center enable 
Info: Information center is disabled.

[Huawei]vlan batch 10 100

[Huawei]dhcp enable  //启动DHCP功能

[Huawei]interface Vlanif 10	
[Huawei-Vlanif10]ip address 192.168.1.254 24	
[Huawei-Vlanif10]dhcp select relay //使能DHCP中继功能
[Huawei-Vlanif10]dhcp relay server-ip 192.168.10.1
[Huawei-Vlanif10]quit 
	
[Huawei]interface Vlanif 100	
[Huawei-Vlanif100]ip address 192.168.10.254 24	
[Huawei-Vlanif100]quit 
	
[Huawei]interface GigabitEthernet 0/0/1	
[Huawei-GigabitEthernet0/0/1]port link-type trunk 	
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan all 	
[Huawei-GigabitEthernet0/0/1]quit 
	
[Huawei]interface GigabitEthernet 0/0/2	
[Huawei-GigabitEthernet0/0/2]port link-type access 	
[Huawei-GigabitEthernet0/0/2]port default vlan 10	
[Huawei-GigabitEthernet0/0/2]quit

 DHCP server配置

DHCP server配置

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname DHCPserver
[DHCPserver]undo info-center enable 
Info: Information center is disabled.
	
[DHCPserver]interface GigabitEthernet 0/0/0	
[DHCPserver-GigabitEthernet0/0/0]ip address 192.168.10.1 24	
[DHCPserver-GigabitEthernet0/0/0]dhcp select global //开启接口采用全局地址池的DHCP Server功能
[DHCPserver-GigabitEthernet0/0/0]quit 
	
[DHCPserver]ip pool vlan10
Info: It's successful to create an IP address pool.	
[DHCPserver-ip-pool-vlan10]network 192.168.1.0 mask 255.255.255.0
[DHCPserver-ip-pool-vlan10]gateway-list 192.168.1.254	
[DHCPserver-ip-pool-vlan10]dns-list 8.8.8.8	
[DHCPserver-ip-pool-vlan10]quit 

[DHCPserver]ip route-static 0.0.0.0 0 192.168.10.254

AR2 非法DHCP服务器配置

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.	
[Huawei]sysname AR2
[AR2]undo info-center enable 
Info: Information center is disabled.	

[AR2]interface GigabitEthernet 0/0/0	
[AR2-GigabitEthernet0/0/0]ip address 192.168.2.1 24 	
[AR2-GigabitEthernet0/0/0]quit 
	
[AR2]ip pool v10
Info: It's successful to create an IP address pool.	
[AR2-ip-pool-v10]network 192.168.2.0 mask 255.255.255.0	
[AR2-ip-pool-v10]gateway-list 192.168.2.1
[AR2-ip-pool-v10]dns-list 8.8.8.8
[AR2-ip-pool-v10]quit

 LSW5配置

LSW5配置

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.	
[Huawei]sysname S5	
[S5]undo info-center enable 
Info: Information center is disabled.

[S5]dhcp enable 
Info: The operation may take a few seconds. Please wait for a moment.done.	

[S5]dhcp snooping enable ipv4 //使能全局DHCP Snooping功能并配置设备仅处理DHCPv4报文
[S5]dhcp snooping enable vlan 10 //
	
[S5]vlan 10	
[S5-vlan10]quit 	
	
[S5]interface Ethernet 0/0/1	
[S5-Ethernet0/0/1]port link-type access 	
[S5-Ethernet0/0/1]port default vlan 10	
[S5-Ethernet0/0/3]dhcp snooping enable //使能用户侧接口的DHCP Snooping功能。以E0/0/1接口为例,E0/0/3的配置与E0/0/1接口相同,不再赘述
[S5-Ethernet0/0/1]quit 
	
[S5]interface Ethernet 0/0/3	
[S5-Ethernet0/0/3]port link-type access 	
[S5-Ethernet0/0/3]port default vlan 10	
[S5-Ethernet0/0/3]dhcp snooping enable
[S5-Ethernet0/0/3]quit 
	
[S5]interface Ethernet 0/0/2	
[S5-Ethernet0/0/2]port link-type trunk 	
[S5-Ethernet0/0/2]port trunk allow-pass vlan all 	
[S5-Ethernet0/0/2]dhcp snooping trusted //将接口配置为dhcp snooping信任接口
[S5-Ethernet0/0/2]quit

 PC1获取的IP是合法的

陈建华01
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DHCP Snooping解决DHCP服务器问题.doc
01-07
网络的普及与网络技术的成熟,现在的人越离不开网络,个人的手、电脑、智能家居设备等都需要网络,我们的这些用网的设备无论是在在访问Internet网,还是局域网内部通信都离开不了IP地址的支持,IP地址就是这些硬件在...
ensp DHCP snooping
07-08
实验拓扑
DHCP Snooping-option82relay的原理及实例
weixin_34107739的博客
11-18 2237
DHCP Snooping-option82relay的原理及实例 一、采用DHCP服务的常见问题 架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器网络参数,简化了网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题,常见的有: ●DHCP Server的冒充●DHCP Server的DOS,如DHCP耗竭●某些用户随便指定IP地址,造成IP地址冲突1、D...
DHCP Snooping功能介绍与实验效果呈现
m0_62621003的博客
04-03 2784
DHCP嗅探,保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击DHCP Snooping信任功能可以控制DHCP服务器应答报文的来源,以防止网络中可能存在的伪造或非法DHCP服务器为其他主机分配IP地址及其他配置信息。dhcp snooping enable #全局开启dhcp snooping功能,开启之后,默认设备所有接口处于非信任接口。正常转发接收到的DHCP应答(offer)报文,转发DHCP请求。
华为配置 dhcp snooping
最新发布
junlan的博客
04-16 1199
注意:如果是在接口下开启DHCP Snooping功能,必须要在所有接口都开启才能实现效果,可以理解为在接口调用dhcp snooping功能。//全局单独开启IPv4的snooping功能,这样将能够有效的节约设备的CPU利用率。//使能接口GE0/0/1下的DHCP Snooping功能,//接口视图下将GE0/0/1接口状态设置为信任。//接口下还需再启用下snooping功能。1、开启snooping功能前必须先全局开启dhcp功能。视图下将GE0/0/1接口状态设置为信任。
DHCP Snooping配置以及介绍
GUOJUNWEI11的博客
11-22 1328
DHCP SnoopingDHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击
DHCP Snooping
xiazhui1的博客
11-22 1169
DHCP SnoopingDHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击
IPSG+DHCP Snooping详解及配置
qq_66291004的博客
09-05 1388
IPSG、DHCP Snooping、接入层安全配置
华为DHCP实验
08-15
华为DHCP实验,三种DHCP,附有配置。 接口下+本地地址池+中继+DHCP Snooping
华为 ME60 V800R010C10SPC500 配置指南 - DHCP Snooping配置
04-04
介绍DHCP Snooping的配置,为用户提供更安全的网络环境,更稳定的网络服务。
软考网工下午-华为配置等
09-28
华为配置、VRRP配置、ACL配置、流量分类、DHCP Snooping配置等。 华为配置是网络设备的基本配置,包括VRRP(Virtual Router Redundancy Protocol)、ACL(Access Control List)、流量分类、DHCP Snooping等。 ...
DHCP Snooping功能的详细分析.doc
04-06
DHCP Snooping功能的详细分析
华为设置SSH.docx
05-03
华为设置SSH是一种远程管理和DHCP检查功能的实现方法,主要应用于华为2700系列交换机。通过设置SSH,可以实现客户端通过SSH远程连接交换机,进行远程管理和监控。 一、实现客户端通过SSH远程连接交换机 在华为2700...
【直通华为HCNA/HCNP系列R篇5】DHCP服务配置与管理
06-08
全面、系统、深入地介绍了华为Sx700系列交换机、AR G3系列路由器所支持的各种DHCP服务功能配置与管理方法,包括DHCP服务器DHCP中继、DHCP SnoopingDHCP客户端的配置与管理。课程中包括了大量的实战实验演示,...
华为交换机DHCPsnooping配置教程.doc
10-03
3. 去使能 DHCP Snooping 用户位置迁移功能:使用命令 `undo dhcp snooping user-transfer enable` 去使能 DHCP Snooping 用户位置迁移功能,防止攻击者仿冒合法用户发送 DHCP Discover 报文。 4. 配置 ARP 与 DHCP ...
华为交换机配置IPSG限制非法主机访问内网示例
12-25
静态绑定表是用户手工创建的,动态绑定表即DHCP Snooping绑定表,它是在主机动态获取IP地址时,交换机根据DHCP回复报文自动生成的。 配置IPSG限制非法主机访问内网的目的是为了防止恶意主机盗用合法主机的IP地址来...
DHCP实验】华三DHCP实验,DHCP配置,H3C实验配置
m0_56348450的博客
04-16 6497
华三DHCP实验,DHCP中继实验,H3C实验配置
交换高级特性 —— DHCP snoopingDHCP欺骗泛红攻击
qq_62311779的博客
08-17 3933
一、DHCP欺骗泛洪攻击 (1)钓鱼网站简介: (2)DNS的作用: (3)DHCP中继技术简介: (-1)核心交换机DHCP配置命令: (4)dhcp欺骗详解: 第一步:pc2作为恶意攻击者会耗尽DHCP Sever的地址池,让DHCP Server不能给p c1分配地址池 第二步:pc2充当DNS和DHCP欺骗pc1 (4-1)图解: 二、防御——DHCP snooping (1)开启DHCP SNOOPING之后的效果: (2)配置案列.........
华为设备DHCP snooping配置命令
Tony_long7483的博客
08-24 2692
华为设备DHCP snooping配置命令
华为DHCP Snooping配置
05-11
DHCP Snooping是一种网络安全技术,可以防止恶意DHCP服务器攻击网络。在华为交换机上配置DHCP Snooping,可以按照以下步骤进行: 1. 开启DHCP Snooping功能:在全局配置模式下输入命令“dhcp snooping enable”即可...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值