有关思科dhcp snooping的测试总结

最新推荐文章于 2024-05-21 19:32:19 发布
最新推荐文章于 2024-05-21 19:32:19 发布
阅读量4.8k 收藏 6
点赞数 3
分类专栏: 网络 文章标签: 思科 dhcp

DHCP snooping作为DAI和IP Sourceguard特性的基础组件,做好配置显得尤为重要。

下面总结一下此特性及部署注意事项:

1. 开启dhcp snooping的交换机,默认都会给所有非信任接口发来的DHCP请求报文添加option 82(中继扩展信息)然后发送给上联的DHCP服务器,如果DHCP服务器是思科的,默认情况下思科的DHCP服务是拒绝分配IP地址给option 82中giaddr(也就是DHCP中继服务器的IP地址)为0.0.0.0的DHCP请求,因为它认为这种请求报文是非法的。既然这样,启DHCP snooping的二层交换机发来的DHCP请求是收不到思科DHCP服务器分配的IP地址的,所以其连接的终端肯定获取不到IP地址(请注意:有中继服务器IP地址的dhcp请求不受影响,客户端能够正常获取IP地址,非思科dhcp服务也不受影响,因为他们没有拒绝给giaddr为0.0.0.0的请求分配IP的特性),解决这个问题有两种方案:

A. DHCP客户端获取IP经过的所有启dhcp snooping的交换机关闭DHCP请求中添加option 82报文的特性(前提肯定是交换机的DHCP服务上联口都做了监听信任),对应的命令是no ip dhcp snooping option information

B. 思科dhcp服务器允许给option 82中giaddr为0.0.0.0的DHCP请求分配IP地址,有两种方式:

ip接口上配置只对ip网段生效:

interface vlan 912

ip dhcp relay information trusted

全局模式下对所有ip网段生效:

ip dhcp relay information trust-all

B种方式只要在思科dhcp服务器上做了,其余启dhcp snooping的交换机就不需要做A方式啦,只需要在汇聚交换机上允许非信任接口发来option 82的DHCP请求报文就行了,对应命令是ip dhcp snooping information option allow-untrusted,这个第2点里面会讲,比较简单。

A方式和B方式的区别:A方式去掉option 82,B方式保留option 82.

2. 开启dhcp snooping的交换机,默认所有的非信任接口丢弃带有option 82的DHCP请求报文,所以如果是汇聚交换机(下联还有接入交换机,接入交换机也在那个vlan开启了dhcp snooping)特定vlan开启了dhcp snooping,需要允许非信任接口发来的option 82的DCHP请求报文,对应命令是ip dhcp snooping information option allow-untrusted

综合实验:

1.png

说明:思科核心trunk下联汇聚然后下联接入交换机,一般我们会在汇聚和接入交换机上启dhcp snooping,汇聚和接入配置举例:

ip dhcp snooping

ip dhcp snooping database flash:dhcpsnooping.db

ip dhcp snooping database write-delay 30

ip dhcp snooping database timeout 60

errdisable recovery cause dhcp-rate-limit

errdisable recovery interval 60

int g0/1 \\意思是交换机DHCP服务器入方向接口,一般叫上联口

ip dhcp snooping trust

ip dhcp snooping vlan 912

做了以上后,客户端依然获取不到IP地址,我们做以下那两种解决方案:

A方案:

接入和汇聚交换机上:

no ip dhcp snooping information option

B方案:

汇聚交换机上:

ip dhcp snooping information option allow-untrusted

然后DHCP服务器上:

int vlan 912

ip dhcp relay information trusted

或者全局下

ip dhcp relay information trust-all



测试证明:使用B方式适合于使用DAI+ipsourceGuard(ipsourceGuard是检测ip和mac的情况,只检测ip地址不会有什么问题,A和B都可以),A方式就支持的不好,客户端获取IP地址很慢,影响使用体验,要想快必须在端口安全时敲上switchport port-security mac-address sticky,使端口下接入的pc的mac地址写入到交换机的静态表里面,提高第二次pc获取ip地址的速度。


备注:

简易arp inspect配置:

ip arp inspect vlan 912

int g0/1

ip arp inspect trust //上联接口

int g0/2

ip arp inspect trust //下联接口


debug arp snooping

简易IPsourceGuard

int range f0/1-24 //所有连接终端的接口

switchport port-security

switchport port-security mac-address sticky //A方案的补救措施

ip verify source port-security //检测ip和mac地址跟交换机端口的对应关系是否符合,默认dhcp绑定表里面的允许放行

还有一种只检测ip与交换机端口对应关系的,检测ip也是基于dhcp绑定表的信息有选择的放行。配置方式就是只在终端接入接口下配置ip verify source
hanlin8023
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DHCP 中继&Snooping解释以及配置
weixin_41903258的博客
11-08 2805
DHCP 中继、snooping 的一些配置
思科 DHCP监听基础配置 (DHCP snooping)
wulala112233的博客
06-12 1307
DHCP snooping
思科实验配置DHCP Snooping
最新发布
Againmmm的博客
05-21 676
DHCP Snooping 的配置和调试方法。配置静态端口安全、动态端口安全和粘滞端口安全的方法
小白进阶之路—交换安全
qq_41851322的博客
07-22 1135
今日之知识点,小本本准备好! 交换QOS -(交换机流量识别只做cos,路由器tos影射cos) sw(config-if)# mls qos trust cos /开启二层交换对QOS的识别 sw(config-if)# mls qos cos 1 /把没有打优先级标记的流量在进入这个接口时标记为cos 1 -在已经标记dscp后 sw(config)# mls qos map cos-d...
Cisco交换机关于DHCP SNOOPING的配置指令
par@ish的博客
10-23 1612
在Cisco交换机上配置DHCP SnoopingDHCP欺骗防护)
“配置DHCP Snooping实验:保护网络中的DHCP服务和防止欺骗攻击“
傻傻的心动的博客
06-10 4589
"配置DHCP Snooping实验:保护网络中的DHCP服务和防止欺骗攻击"
交换安全(局域网安全)
weixin_44597061的博客
07-21 7609
若阅读时看不太懂叙述顺序建议先浏览位于底部的思维导图 MAC攻击 伪造大量虚假MAC地址发送给交换机,让交换机不停学习,将原MAC地址表中的原MAC地址删除,此时交换机转发数据找不到目标MAC地址,此时会进行未知单播帧洪泛 将中间的PC的MAC伪装为对方的MAC地址,但需要不停地发送,否则交换机会重新加载上被攻击方的MAC地址 解决方法: 一一对应捆绑接口与MAC地址,维护一个合法的关系 在接口下...
DHCP snooping详解
mypanlong的专栏
10-07 1万+
一、机制概述       DHCP都非常熟悉了,对于DHCP客户端而言,初始过程中都是通过发送广播的DHCP discovery消息寻找DHCP服务器,然而这时候如果内网中存在私设的DHCP服务器,那么就会对网络造成影响,例如客户端通过私设的DHCP服务器拿到一个非法的地址,最终导致PC无法上网。 snooping详解" title="DHCP snooping详解"
企业网安全防范系列之三:思科交换机上DHCP Snooping的运用,解决私接路由器导致地址错乱
网络之路Blog(其他平台同名)
03-04 3079
拓扑 DHCP服务在网络中应用很常见,但是也容易被干扰,为什么这么说呢,主要是因为DHCP的机制很简单,而且谁先响应先用谁的,并没有什么验证以及安全机制,这样如果网络中存在多个DHCP服务器的话,那么我们就不能确保内网PC能够准确的获取到对应的地址。而且也有攻击软件,能够非常快速的把合法地址池给全部获取完毕,这样内网PC获取到的则是攻击者提供的网段,比如错误的网关,DNS,这样使得更加容易让客户端访问错误的信息。 1、正常情况下DHCP的获取 说明:正常情况下由三层交换机来提供DHCP地址服...
Cisco DHCP Snooping
辉小鱼的博客
07-09 510
Cisco DHCP Snooping技术。DHCP Snooping配置(1)DHCP Snooping配置(2)DHCP Snooping实验拓扑。配置DHCP Snooping步骤。Kali停止DHCP DOS攻击。Kali制作DHCP DOS。
DHCP欺骗泛洪攻击、如何防御DHCP欺骗攻击——DHCP snooping技术、DHCP snooping配置命令
qq_62311779的博客
01-30 1万+
目录 一、DHCP欺骗泛洪攻击 (1)钓鱼网站简介: (2)DNS的作用: (3)DHCP中继技术简介: (3-1)核心交换机DHCP配置命令: (4)dhcp欺骗详解: 第一步:pc2作为恶意攻击者会耗尽DHCP Sever的地址池,让DHCP Server不能给pc1分配地址池 第二步:pc2充当DNS和DHCP欺骗pc1 图解: 二、如何防御及DHCP snooping配置命令 (一)开启DHCP SNOOPING之后的效果: (二)、配置命令 配置: 观察PC2无法重..
交换机dhcp snoopingIP source guard禁止手动配置IP (dhcp/环路防护)
wailaizhu的博客
06-07 4570
通过dhcp snooping 防止内部企业网私自接入dhcp server; 通过启用IP source guard防止内部用户私自手动配置ip地址。 CISCO: 接入层dhcp snooping 配置: (config)#ip dhcp snooping (config)# ip dhcp snooping vlan 67 (config)#interface GigabitEthernet1/0/47 (config-if)#ip dhcp snooping trust 核心层需要如..
思科设备配置DHCP命令
热门推荐
junlan的博客
03-24 4万+
DHCP(Dynamic Host Configuration Protocol)基本知识点: 1 、DHCP协议在RFC2131中定义,使用udp协议进行数据报传递,使用的端口是67(DHCP服务器)和68(DHCP客户端)。 2 、DHCP最常见的应用是,自动给终端设备分配IP地址,掩码,默认网关,但是DHCP也同样可以给终端设备自动配置其他options,比如DNS server,tim...
Cisco交换机DHCPSnooping
weixin_34362790的博客
11-10 248
一、为什么要使用DHCP服务及能解决的问题 DHCP提高了管理效率,但在DHCP服务的管理上存在一些问题,如DHCP Server的冒充,DHCP Server的DOS攻击,DHCP耗竭攻击,有些用户随便指定IP地址,造成IP地址冲突等。 二、DHCP Snooping技术 DHCP监听(DHCP Snooping)是一种DHCP安全...
DHCP Snooping故障解决
坏坏-5的博客
12-18 509
记录DHCP Snooping故障现象以及解决方法!
华为DHCP Snooping原理及其实验配置
爱学习的JackYang的博客
07-30 1万+
DHCP Snooping原理 DHCPSnooping是一种DHCP安全特性,通过截获DHCPClient和DHCPRelay之间的DHCP报文并进行分析处理,可以过滤不信任的DHCP报文并建立和维护一个DHCPSnooping绑定表(untrust)。 DHCPSnooping通过对这个绑定表的维护,建立一道在DHCPClient和DHCPServer之间的防火墙 DHCPSnooping可以解决设备应用DHCP时遇到的DHCPDOS(DenialofService)攻击...
思科dhcp snooping 配置
07-12
要配置思科设备上的DHCP Snooping,可以按照以下步骤进行操作: 1. 启用DHCP Snooping功能: ``` enable configure terminal ip dhcp snooping ``` 2. 配置可信任的接口: ``` interface <interface> ip dhcp snooping trust ``` 可以将DHCP服务器连接的接口标记为可信任接口,以确保DHCP服务器的报文可以正常通过。 3. 配置非可信任的接口: ``` interface <interface> ip dhcp snooping limit rate <rate> ``` 将其他接口标记为非可信任接口,并设置报文速率限制(可选),以防止DHCP服务器冒充攻击。 4. (可选)配置DHCP Snooping绑定: ``` ip dhcp snooping binding database flash:<filename> ``` 可以配置DHCP Snooping绑定数据库,将绑定信息保存到指定的文件中。 5. (可选)配置DHCP Snooping日志: ``` ip dhcp snooping information option ip dhcp snooping information option vpn ``` 可以配置DHCP Snooping日志,记录DHCP报文的选项信息(可选项)和VPN信息(如果适用)。 6. 保存配置并退出配置模式: ``` end copy running-config startup-config ``` 配置完成后,思科设备将开始进行DHCP Snooping,并根据配置的接口进行验证和限制。请根据实际网络环境和需求进行相应的配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值