ip dhcp snooping配置

最新推荐文章于 2024-04-16 09:42:49 发布
最新推荐文章于 2024-04-16 09:42:49 发布
阅读量1.2w 收藏 22
点赞数 2
分类专栏: Cisco 思科
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blakegao/article/details/12242691
版权
一、DHCP snooping 技术介绍
 
DHCP监听(DHCP Snooping)是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性,交换机能够拦截第二层VLAN域内的所有DHCP报文。
 
通过开启DHCP监听特性,交换机限制用户端口(非信任端口)只能够发送DHCP请求,丢弃来自用户端口的所有其它DHCP报文,例如DHCP Offer报文等。而且,并非所有来自用户端口的DHCP请求都被允许通过,交换机还会比较DHCP 请求报文的(报文头里的)源MAC地址和(报文内容里的)DHCP客户机的硬件地址(即CHADDR字段),只有这两者相同的请求报文才会被转发,否则将被丢弃。这样就防止了DHCP耗竭攻击。信任端口可以接收所有的DHCP报文。通过只将交换机连接到合法DHCP服务器的端口设置为信任端口,其他端口设置为非信任端口,就可以防止用户伪造DHCP服务器来攻击网络。DHCP监听特性还可以对端口的DHCP报文进行限速。通过在每个非信任端口下进行限速,将可以阻止合法DHCP请求报文的广播攻击。DHCP监听还有一个非常重要的作用就是建立一张DHCP监听绑定表(DHCP Snooping Binding)。一旦一个连接在非信任端口的客户端获得一个合法的DHCP Offer,交换机就会自动在DHCP监听绑定表里添加一个绑定条目,内容包括了该非信任端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信息。
 
二、DHCP snooping 配置
 
Switch(config)#ip dhcp snooping // 打开DHCP Snooping功能
Switch(config)#ip dhcp snooping vlan 10 // 设置DHCP Snooping功能将作用于哪些 VLAN
Switch(config)#ip dhcp snooping verify mac-adress                 
 
//检测非信任端口收到的DHCP请求报文的源MAC和CHADDR字段是否相同,以防止DHCP耗竭攻击,该功能默认即为开启

Switch(config-if)#ip dhcp snooping trust 
 
// 配置接口为DHCP监听特性的信任接口,所有接口默认为非信任接口

Switch(config-if)#ip dhcp snooping limit rate 15 
 
// 限制非信任端口的DHCP报文速率为每秒15个包(默认即为每秒15个包)如果不配该语句,则show ip dhcp snooping的结果里将不列出没有该语句的端口,可选速率范围为1-2048
 
建议:在配置了端口的DHCP报文限速之后,最好配置以下两条命令
Switch(config)#errdisable recovery cause dhcp-rate-limit                 
// 使由于DHCP报文限速原因而被禁用的端口能自动从err-disable状态恢复

Switch(config)#errdisable recovery interval 30
// 设置恢复时间;端口被置为err-disable状态后,经过30秒时间才能恢复
 
Switch(config)#ip dhcp snooping information option                 
// 设置交换机是否为非信任端口收到的DHCP报文插入Option 82,默认即为开启状态
Switch(config)#ip dhcp snooping information option allow-untrusted                
// 设置汇聚交换机将接收从非信任端口收到的接入交换机发来的带有选项82的DHCP报文

Switch#ip dhcp snooping binding 000f.1fc5.1008 vlan 10 192.168.10.131 interface fa0/2 expiry 692000                  // 特权模式命令;手工添加一条DHCP监听绑定条目;expiry为时间值,即为监听绑定表中的lease(租期)
Switch(config)#ip dhcp snooping database
flash:dhcp_snooping.db                 
// 将DHCP监听绑定表保存在flash中,文件名为 dhcp_snooping.db

Switch(config)#ip dhcp snooping database
tftp://192.168.2.5/Switch/dhcp_snooping.db 
//将DHCP监听绑定表保存到tftp服务器;192.168.2.5为tftp服务器地址,必须事先确定可达。URL中的Switch是tftp服务器下一个文件夹;保存后的文件名为dhcp_snooping.db,当更改保存位置后会立即执行“写”操作。

Switch(config)#ip dhcp snooping database write-delay 30
                
// 指DHCP监听绑定表发生更新后,等待30秒,再写入文件,默认为300秒;可选范围为15-86400秒
Switch(config)#ip dhcp snooping database timeout 60 
// 指DHCP监听绑定表尝试写入操作失败后,重新尝试写入操作,直到60秒后停止尝试。默认为300秒;可选范围为0-86400秒

说明:实际上当DHCP监听绑定表发生改变时会先等待write-delay的时间,然后执行写入操作,如果写入操作失败(比如tftp服务器不可达),接着就等待timeout的时间,在此时间段内不断重试。在timeout时间过后,停止写入尝试。但由于监听绑定表已经发生了改变,因此重新开始等待write-delay时间执行写入操作……不断循环,直到写入操作成功。
Switch#renew ip dhcp snooping database flash:dhcp_snooping.db         
 
/ 特权级命令;立即从保存好的数据库文件中读取DHCP监听绑定表。



blakegao
关注
专栏目录
DHCP Snooping配置指南
Jesse的黑洞
08-31 3899
DHCP Snooping配置指南 你必须在交换机上全局启用DHCP snooping DHCP snooping是不活动的除非在一个vlan上启用DHCP snooping 全局启用DHCP Snooping之前,你必须确保设备被看作是一个DHCP服务器或者DHCP relay agent 当你在交换机上启用DHCPSNOOPING时,除非snooping被禁用,否则这些命令是无效的,运
dhcp snooping华为_华为防火墙配置DHCP Snooping保护DHCP服务器
weixin_34729012的博客
02-15 1646
该楼层疑似违规已被系统折叠隐藏此楼查看此楼DHCP Snooping是一种DHCP安全特性,通过MAC地址限制、DHCP Snooping安全绑定、IP + MAC绑定、Option82特性等功能过滤不信任的DHCP消息,解决了设备应用DHCP时遇到DHCP DoS攻击、DHCP Server仿冒攻击、ARP中间人攻击及IP/MAC Spoofing攻击的问题。组网需求如图1所示,USG作为DH...
解决IP地址冲突的完美方法--DHCP SNOOPING
03-26
解决IP地址冲突的完美方法--DHCP SNOOPING 使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING功能。 例子: version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption service compress-config ! hostname C4-2_4506 ! enable password xxxxxxx! clock timezone GMT 8 ip subnet-zero no ip domain-lookup ! ip dhcp snooping vlan 180-181 // 对哪些VLAN 进行限制 ip dhcp snooping ip arp inspection vlan 180-181 ip arp inspection validate src-mac dst-mac ip errdisable recovery cause udld errdisable recovery cause bpduguard errdisable recovery cause security-violation errdisable recovery cause channel-misconfig errdisable recovery cause pagp-flap errdisable recovery cause dtp-flap errdisable recovery cause link-flap errdisable recovery cause l2ptguard errdisable recovery cause psecure-violation errdisable recovery cause gbic-invalid errdisable recovery cause dhcp-rate-limit errdisable recovery cause unicast-flood errdisable recovery cause vmps errdisable recovery cause arp-inspection errdisable recovery interval 30 spanning-tree extend system-id ! ! interface GigabitEthernet2/1 // 对该端口接入的用户进行限制,可以下联交换机 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/2 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/3 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/4 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 --More-- 编者注:对不需要明确地址的所有人的时候是一个很好的解决办法。另外,可以查看www.cisco.com的 IP Source Guard Similar to DHCP snooping, this feature is enabled on a DHCP snooping untrusted Layer 2 port. Initially, all IP traffic on the port is blocked except for DHCP packets that are captured by the DHCP snooping process. When a client receives a valid IP address from the DHCP server, or when a static IP source binding is configured by the user, a per-port and VLAN Access Control List (PACL) is installed on the port. This process restricts the client IP traffic to those source IP addresses configured in the binding; any IP traffic with a source IP address other than that in the IP source binding will be filtered out. This filtering limits a host's ability to attack the network by claiming neighbor host's IP address.
配置DHCP Snooping
weixin_46041124的博客
02-23 3057
而每个交换机的端口推荐只连接一台PC,否则如果交换机某端口下串接一个Hub,在Hub上连接了若干PC的话,那么如果凑巧该Hub下发生DHCP欺骗,由于欺骗报文都在Hub端口间直接转发了,没有受到接入层交换机的DHCP Snooping功能的控制,这样的欺骗就无法防止了。2、在接入交换机SwitchA上全局使能DHCP Snooping,然后在连接PC的接口使能DHCP Snooping,同时将上联核心交换机的接口配置为信任接口(信任接口正常接收DHCP服务器响应的DHCP报文。
ip dhcp snooping
weixin_34234829的博客
04-22 150
DHCP监听将交换机端口划分为两类: ●非信任端口:通常为连接终端设备的端口,如PC,网络打印机等 ●信任端口:连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口 一、DHCP snooping 技术介绍 DHCP监听(DHCP Snooping)是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通...
DHCP Snooping配置以及介绍
GUOJUNWEI11的博客
11-22 2080
DHCP SnoopingDHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
DHCP Snooping + Dynamic ARP Inspection(DAI) 配置
weixin_33774615的博客
09-20 226
在cisco设备中的配置 在cisco网络环境下,boot request在经过了启用DHCP SNOOPING特性的设备上时,会在DHCP数据包中插入option 82的选项(具体见RFC3046) 这个时候,boot request中数据包中的gateway ip address:为全0,所以一旦dhcp relay 设备检测到这样的数据包,就会丢弃。 虽然dhcp...
ip dhcp snooping配置不当造成PC不能正常获取IP
01-05
DHCP Snooping是交换机上的一项安全特性,用于防止不合法的DHCP服务器在局域网内提供错误的IP配置信息给客户端。它通过监视和控制DHCP流量来确保只有可信的DHCP服务器可以向网络中分配IP地址。如果配置不当,该特性...
ip dhcp snooping.docx
11-19
在实际部署中,IP DHCP Snooping配置步骤如下: 1. **核心交换机配置**: - 开启DHCP服务:`service dhcp` - 配置VLAN接口IP地址,作为DHCP服务器的网关:`interface vlan 1`,`ip address 192.168.1.254 255....
ip dhcp snooping分析.docx
11-19
IP DHCP Snooping是一种网络管理技术,用于增强局域网(LAN)的安全性,尤其是当网络中的设备使用动态主机配置协议(DHCP)来获取IP地址时。DHCP Snooping的主要目的是防止IP地址欺骗、DHCP服务器泛洪攻击以及未经...
DHCP Snooping(Cisco交换机)功能标准配置对照
05-16
DHCP Snooping(Cisco交换机)功能标准配置对照
解决IP地址冲突的完美方法-DHCP SNOOPING.pdf
06-03
解决IP地址冲突的完美方法-DHCP SNOOPING.pdf
配置DHCP Snooping功能
06-19
### 配置DHCP Snooping功能 #### 一、引言 随着网络技术的发展与应用范围的扩大,网络安全性成为了不容忽视的问题。DHCP Snooping作为一种重要的安全特性,被广泛应用于增强网络的安全性,防止未经授权的DHCP...
DHCP Snooping原理和配置
热门推荐
qq_50929489的博客
09-21 1万+
DHCP Snooping原理和配置
DHCP Snooping配置
zj2059129607的博客
11-22 451
DHCP SnoopingDHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
华为配置 dhcp snooping
最新发布
junlan的博客
04-16 2075
注意:如果是在接口下开启DHCP Snooping功能,必须要在所有接口都开启才能实现效果,可以理解为在接口调用dhcp snooping功能。//全局单独开启IPv4的snooping功能,这样将能够有效的节约设备的CPU利用率。//使能接口GE0/0/1下的DHCP Snooping功能,//接口视图下将GE0/0/1接口状态设置为信任。//接口下还需再启用下snooping功能。1、开启snooping功能前必须先全局开启dhcp的功能。视图下将GE0/0/1接口状态设置为信任。
DHCP snoop配置
weixin_45457085的博客
01-06 4589
拓扑解释 SW1/SW2之间trunk互联,两台交换机分别接入一台路由器做DHCP服务器,交换机下分别接入4台PC进行动态地址获取。 适用场景 1、网内多DHCP服务器场景 2、防止网内私接DHCP服务器导致网络瘫痪 配置 SW1上: vlan 10 interface range g1/0/1 to g1/0/3 port link-type access port access vlan 10 int g0/0/4 port link-type trunk port tru..
IP DHCP Snooping
weixin_34194317的博客
11-06 81
转载http://tech.ddvip.com/2009-04/1240307726116182_4.html一、采用DHCP服务的常见问题  架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了  网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题,常见的有:  ●DHCPServer的冒充  ●DHCPServer的D...
配置DHCP Snooping实验:保护网络中的DHCP服务和防止欺骗攻击“
傻傻的心动的博客
06-10 4665
"配置DHCP Snooping实验:保护网络中的DHCP服务和防止欺骗攻击"
DHCP Snooping配置与安全防护详解
2. 配置信任接口:这告诉交换机哪些接口是接收合法DHCP响应的,例如`interface FastEthernet x/x/x` `ip dhcp snooping trust` 3. 可选地,启用DHCP Snooping绑定表:记录IP地址、MAC地址和租约时间等信息,以进一步...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值