DHCP Snooping简介

        DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。

定义

DHCP Snooping是DHCP（Dynamic Host Configuration Protocol）的一种安全特性，用于保证DHCP客户端从合法的DHCP服务器获取IP地址，并记录DHCP客户端IP地址与MAC地址等参数的对应关系，防止网络上针对DHCP攻击。

目的

目前DHCP协议（RFC2131）在应用的过程中遇到很多安全方面的问题，网络中存在一些针对DHCP的攻击，如DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。

为了保证网络通信业务的安全性，可引入DHCP Snooping技术，在DHCP Client和DHCP Server之间建立一道防火墙，以抵御网络中针对DHCP的各种攻击。

受益

• 设备具有防御网络上DHCP攻击的能力，增强了设备的可靠性，保障通信网络的正常运行。
• 为用户提供更安全的网络环境，更稳定的网络服务。

DHCP Snooping的基本原理

DHCP Snooping能够实现如下基本功能：

信任功能

DHCP Snooping的信任功能，能够保证客户端从合法的服务器获取IP（Internet Protocol）地址。

网络中如果存在私自架设的DHCP Server仿冒者，则可能导致DHCP客户端获取错误的IP地址和网络配置参数，无法正常通信。DHCP Snooping信任功能可以控制DHCP服务器应答报文的来源，以防止网络中可能存在的DHCP Server仿冒者为DHCP客户端分配IP地址及其他配置信息。

DHCP Snooping信任功能将接口分为信任接口和非信任接口：

• 信任接口正常接收DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文。
• 非信任接口在接收到DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文后，丢弃该报文。

管理员在部署网络时，一般将与合法DHCP服务器直接或间接连接的接口设置为信任接口，其他接口设置为非信任接口，从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址，私自架设的DHCP Server仿冒者无法为DHCP客户端分配IP地址。

分析功能

开启DHCP Snooping功能后，设备能够通过分析DHCP的报文交互过程，生成DHCP Snooping绑定表，绑定表项包括客户端的MAC地址、获取到的IP地址、与DHCP客户端连接的接口及该接口所属的VLAN（Virtual Local Area Network）等信息。

DHCP Snooping绑定表根据DHCP租期进行老化或根据用户释放IP地址时发出的DHCP Release报文自动删除对应表项。

出于安全性的考虑，管理员需要记录用户上网时所用的IP地址，确认用户申请的IP地址和用户使用的主机的MAC地址的对应关系。在设备通过DHCP Snooping功能生成绑定表后，管理员可以方便的记录DHCP用户申请的IP地址与所用主机的MAC地址之间的对应关系。

由于DHCP Snooping绑定表记录了DHCP客户端IP地址与MAC地址等参数的对应关系，故通过对报文与DHCP Snooping绑定表进行匹配检查，能够有效防范非法用户的攻击。

为了保证设备在生成DHCP Snooping绑定表时能够获取到用户MAC等参数，DHCP Snooping功能需应用于二层网络中的接入设备或第一个DHCP Relay上。

实验：配置DHCP Snooping的攻击防范功能示例

实验拓扑：

DHCP Relay配置：

1.使能DHCP Snooping功能
# 使能全局DHCP Snooping功能
[DHCP Relay]dhcp enable
[DHCP Relay]dhcp snooping enable

# 使能用户侧接口的DHCP Snooping功能。以Gth0/0/1接口为例，Gth0/0/2的配置与Gth0/0/1接口相同，不再赘述
[DHCP Relay]interface GigabitEthernet  0/0/1
[DHCP Relay-GigabitEthernet0/0/1]dhcp snooping enable
[DHCP Relay-GigabitEthernet0/0/1]quit


2.配置接口的信任状态：将连接DHCP Server的接口状态配置为“Trusted”
[DHCP Relay]interface GigabitEthernet  0/0/1
[DHCP Relay-GigabitEthernet0/0/1]dhcp snooping trusted 
[DHCP Relay-GigabitEthernet0/0/1]quit


3.使能ARP与DHCP Snooping的联动功能
[DHCP Relay]arp dhcp-snooping-detect enable


4.使能对DHCP报文进行绑定表匹配检查的功能。 
# 在用户侧接口进行配置。以Gth0/0/1接口为例，Gth0/0/2的配置与Gth0/0/1接口相同，不再赘述
[DHCP Relay]interface GigabitEthernet  0/0/1
[DHCP Relay-GigabitEthernet0/0/1]dhcp snooping check user-bind enable 
[DHCP Relay-GigabitEthernet0/0/1]quit


5.使能检测DHCP Request报文中GIADDR字段是否非零的功能。 
# 在用户侧接口进行配置。以Gth0/0/1接口为例，Gth0/0/2的配置与Gth0/0/1接口相同，不再赘述
[DHCP Relay]interface GigabitEthernet  0/0/1
[DHCP Relay-GigabitEthernet0/0/1]dhcp snooping check dhcp-giaddr enable
[DHCP Relay-GigabitEthernet0/0/1]quit


6.配置接口允许接入的最大用户数并使能对CHADDR字段检查功能。 
# 在用户侧接口进行配置。以Gth0/0/1接口为例，Gth0/0/2的配置与Gth0/0/1接口相同，不再赘述
[DHCP Relay]interface GigabitEthernet  0/0/1 
[DHCP Relay-GigabitEthernet0/0/1]dhcp snooping max-user-number 20
[DHCP Relay-GigabitEthernet0/0/1]dhcp snooping check mac-address enable
[DHCP Relay-GigabitEthernet0/0/1]quit


7.配置丢弃报文告警和报文限速告警功能。 
# 使能丢弃报文告警功能，并配置丢弃报文告警阈值。以Gth0/0/1接口为例，Gth0/0/2的配置与Gth0/0/1接口相同，不再赘述
[DHCP Relay] interface GigabitEthernet  0/0/1
[DHCP Relay-GigabitEthernet0/0/1]dhcp snooping alarm mac-address enable
[DHCP Relay-GigabitEthernet0/0/1]dhcp snooping alarm user-bind enable
[DHCP Relay-GigabitEthernet0/0/1]dhcp snooping alarm untrust-reply enable 
[DHCP Relay-GigabitEthernet0/0/1]dhcp snooping alarm mac-address threshold 120 
[DHCP Relay-GigabitEthernet0/0/1]dhcp snooping alarm user-bind threshold 120 
[DHCP Relay-GigabitEthernet0/0/1]dhcp snooping alarm untrust-reply threshold 120 
[DHCP Relay-GigabitEthernet0/0/1]quit