DHCP Snooping原理和配置

最新推荐文章于 2024-05-21 19:32:19 发布
最新推荐文章于 2024-05-21 19:32:19 发布
阅读量1.5w 收藏 110
点赞数 17
分类专栏: 网络知识 文章标签: 网络 服务器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50929489/article/details/126982548
版权

DHCP Snooping原理和配置

  • 基本原理
  • 配置

一、基本原理

DHCP Snooping
功能: 使能该技术可以防止非法用户攻击,使得客户端可以从合法的服务器获取IP。
过程:使能了DHCP Snooping的设备将用户(DHCP客户端)的DHCP请求报文通过信任接口发送给合法的DHCP服务器。之后设备根据DHCP服务器回应的DHCP ACK报文信息生成DHCP Snooping绑定表。后续设备再从使能了DHCP Snooping的接口接收用户发来的DHCP报文时,会进行匹配检查,能够有效防范非法用户的攻击。
作用: 在网络中使用DHCP Snooping技术可以控制DHCP服务器应答报文的来源,以防止网络中可能存在的DHCP Server仿冒者为DHCP客户端分配IP地址及其他配置信息。

DHCP Snooping信任功能将接口分为信任接口和非信任接口:
信任接口(trust)正常接收DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文。
非信任接口(untrust)在接收到DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文后,丢弃该报文。

DHCP Snooping绑定表
使能DHCP Snooping功能的二层接入设备收到DHCP服务器发送的ACK消息的时候,会提取其中的关键字段形成绑定表,包括IP地址、MAC地址、以及客户端和二层接入设备的接口信息(接口编号和VLAN所属)。
DHCP Snooping绑定表根据DHCP租期进行老化或根据用户释放IP地址时发出的DHCP Release报文自动删除对应表项。
由于DHCP Snooping绑定表记录了DHCP客户端IP地址与MAC地址等参数的对应关系,故通过对报文与DHCP Snooping绑定表进行匹配检查,能够有效防范非法用户的攻击。
      为了保证设备在生成DHCP Snooping绑定表时能够获取到用户MAC等参数,DHCP Snooping功能需应用于二层网络中的接入设备或第一个DHCP Relay上
      在DHCP中继使能DHCP Snooping场景中,DHCP Relay设备不需要设置信任接口。因为DHCP Relay收到DHCP请求报文后进行源目的IP、MAC转换处理,然后以单播形式发送给指定的合法DHCP服务器,所以DHCP Relay收到的DHCP ACK报文都是合法的,生成的DHCP Snooping绑定表也是正确的。

DHCP Snooping应用场景
1、防止DHCP Server仿冒者攻击导致用户获取到错误的IP地址和网络参数
2、防止非DHCP用户攻击导致合法用户无法正常使用网络
3、防止DHCP报文泛洪攻击导致设备无法正常工作
4、防止仿冒DHCP报文攻击导致合法用户无法获得IP地址或异常下线
5、防止DHCP Server服务拒绝攻击导致部分用户无法上线

二、配置

特点:
1、DHCP Snooping功能是交换机的基本特性,无需获得License许可即可应用此功能。
2、如果需要上线的用户数目超过了设备支持的DHCP Snooping绑定表规格,超出的用户将无法上线。
3、DHCP Snooping功能不支持在接口的三层模式下配置。
4、VXLAN场景下,不支持DHCPv6 Snooping功能。
5、VRRP场景下,备设备不能同步主设备上的DHCP Snooping绑定表。故VRRP场景下不能配置DHCP Snooping功能,否则会导致主备倒换后原有业务失效.
6、DHCP Snooping最多支持处理带有双层VLAN Tag的DHCP报文。对于带有更多层VLAN Tag的报文建议不要配置DHCP Snooping功能,否则会导致丢包,影响用户的使用体验。
7、如果设备使能了DHCP Snooping功能,不能配置2 to 2的VLAN Mapping功能,否则会导致DHCP用户无法上线。

在这里插入图片描述

1、执行命令dhcp snooping enable [ ipv4 | ipv6 ],全局使能DHCP Snooping功能。
缺省情况下,设备全局未使能DHCP Snooping功能。
也可在VLAN接口下使能dhcp snooping
2、使能后,配置信任接口,这样才能 生成DHCP Snooping绑定表。
进入接口模式下: dhcp snooping trusted   默认接口是untrust
或者直接使用  dhcp snooping trusted interface g0/0/1.
VLAN视图下:
	执行命令vlan vlan-id,进入VLAN视图。
	执行命令dhcp snooping trusted interface interface-type interface-number ,配置接口为“信任”接口。
	缺省情况下,接口的状态为“非信任”状态。
	在VLAN视图下执行此命令,则命令功能仅对加入该VLAN的接口收到的属于此VLAN的DHCP报文生效;在接口下执行该 命令,则命令功能对该接口接收到的所有DHCP报文生效。
3、查看配置信息。
display dhcp snooping configuration [ vlan vlan-id | interface interface-type interface-number

查看DHCP Snooping绑定表相关信息。
执行命令display dhcp snooping user-bind
大白求饶
关注
  • 17
    点赞
  • 110
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ensp DHCP snooping
07-08
实验拓扑
华三DHCP配置实验报告
12-27
DHCP中继配置中,使用了特定的命令(display dhcp relay server-group 1和display dhcp relay interface GigabitEthernet0/0)来查看中继配置和状态。 四、实验意义 此实验不仅帮助学生掌握DHCP配置方法,还...
配置DHCP Snooping
weixin_46041124的博客
02-23 2250
而每个交换机的端口推荐只连接一台PC,否则如果交换机某端口下串接一个Hub,在Hub上连接了若干PC的话,那么如果凑巧该Hub下发生DHCP欺骗,由于欺骗报文都在Hub端口间直接转发了,没有受到接入层交换机的DHCP Snooping功能的控制,这样的欺骗就无法防止了。2、在接入交换机SwitchA上全局使能DHCP Snooping,然后在连接PC的接口使能DHCP Snooping,同时将上联核心交换机的接口配置为信任接口(信任接口正常接收DHCP服务器响应的DHCP报文。
思科实验配置DHCP Snooping
最新发布
Againmmm的博客
05-21 662
DHCP Snooping配置和调试方法。配置静态端口安全、动态端口安全和粘滞端口安全的方法
DHCP Snooping理论与配置
m0_49864110的博客
03-06 4404
DHCP SnoopingDHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。设备收到arp报文时,将arp报文对应的源IP地址、源MAC地址、接口、Vlan等信息和绑定表的信息进行对比(如果信息匹配,则允许arp报文通过;1、配置静态绑定表,手动配置IP地址、MAC地址、Vlan等信息绑定DHCP Snooping IP源防攻击技术(IPSG)动态ARP检测技术(DAI)
dhcp snooping 防止静态ip访问
txs1269928052的博客
04-03 264
3. 配置静态绑定表项 //配置可以指定确定的mac可以上网。可以配置一个地址池其他主机拿到dhcp分配的IP地址。# 使能VLAN下的DHCP Snooping功能。如果测试不成功可以使用,dhcp重新获取地址尝试。# 使能全局DHCP Snooping功能。路由器配置一个接口IP地址,和回指路由。# 配置用户侧接口所属的VLAN。2. 配置在用户侧接口进行报文检查。
DHCP Snooping
xiazhui1的博客
11-22 1439
DHCP SnoopingDHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
DHCP Snooping简介
m0_73258133的博客
11-22 645
DHCP SnoopingDHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
DHCP DHCP Snooping
weixin_55932038的博客
05-08 1021
因为DHCP客户端发送的DHCP Discover报文是以广播形式发送,无论是合法的DHCP 服务器,还是非法的DHCP Server都可以接收到DHCP Discover报文,如果此时非法的DHCP仿冒服务器,回应给DHCP 客户端,恶意的仿冒信息(如:错误的IP、错误的网关、错误的DNS),DHCP 客户端无法分辨这些信息,所以最终导致DHCP客户端无法上网和信息泄露。-DHCP SnoopingDHCP 客户端和DHCP 服务器之间建立一道虚拟防火墙,以抵御网络中针对DHCP的各种攻击。
配置DHCP Snooping实验:保护网络中的DHCP服务和防止欺骗攻击“
傻傻的心动的博客
06-10 4585
"配置DHCP Snooping实验:保护网络中的DHCP服务和防止欺骗攻击"
DHCP Snooping功能的详细分析.doc
04-06
- **基本原理**: 通过将交换机端口划分为信任端口和非信任端口,确保只有合法的DHCP服务器才能向客户端提供服务。 - **信任端口**: 连接合法DHCP服务器的端口或上行端口,可接收所有DHCP报文。 - **非信任端口**: ...
DHCP Snooping(Cisco交换机)功能标准配置对照
05-16
DHCP Snooping(Cisco交换机)功能标准配置对照 DHCP Snooping 是一种网络安全机制,旨在防止在局域网中出现非法的 DHCP 服务器,以保护网络的...通过正确的配置和使用 DHCP Snooping,可以提高网络的安全性和稳定性。
神州数码交换机DHCP服务器配置.pdf
06-26
通过这样的实验,学生不仅能了解DHCP协议的基本原理,还能熟练掌握交换机作为DHCP服务器配置技巧,这对于理解和管理现代企业网络中的IP地址分配具有重要意义。同时,这样的配置也提高了网络管理的效率,减少了因...
交换高级特性 —— DHCP snoopingDHCP欺骗泛红攻击)
qq_62311779的博客
08-17 4014
一、DHCP欺骗泛洪攻击 (1)钓鱼网站简介: (2)DNS的作用: (3)DHCP中继技术简介: (-1)核心交换机DHCP配置命令: (4)dhcp欺骗详解: 第一步:pc2作为恶意攻击者会耗尽DHCP Sever的地址池,让DHCP Server不能给p c1分配地址池 第二步:pc2充当DNS和DHCP欺骗pc1 (4-1)图解: 二、防御——DHCP snooping (1)开启DHCP SNOOPING之后的效果: (2)配置案列.........
锐捷交换机——DHCP Snooping
君逍遥o
10-09 1811
接入交换机为S2652G交换机,核心交换机是S5750,S2652G交换机下联PC使用动态DHCP获取IP地址,为了防止内网有用户接入非法dhcp服务器,如自带的无线小路由器等,导致正常用户获取到错误的地址而上不了网或地址冲突,要实施DHCP SnoopingDHCP监听)功能。
DHCP Snooping配置
zj2059129607的博客
11-22 409
DHCP SnoopingDHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
DHCP snoop配置
weixin_45457085的博客
01-06 4550
拓扑解释 SW1/SW2之间trunk互联,两台交换机分别接入一台路由器做DHCP服务器,交换机下分别接入4台PC进行动态地址获取。 适用场景 1、网内多DHCP服务器场景 2、防止网内私接DHCP服务器导致网络瘫痪 配置 SW1上: vlan 10 interface range g1/0/1 to g1/0/3 port link-type access port access vlan 10 int g0/0/4 port link-type trunk port tru..
华三H3C交换机如何配置dhcp服务,如何开启dhcp snooping
热门推荐
年华日记的博客
11-03 2万+
华三交换机如何配置dhcp,开启dhcp snooping 一,核心交换机SW配置 使能dhcp [SW]dhcp enable 创建vlan10并配置交换机vlan10地址 [SW]vlan 10 [SW-vlan10]inter vlan 10 [SW-Vlan-interface10]ip add 192.168.10.1 24 创建dhcp地址池vlan10并配置 [SW]dhcp server ip-pool vlan10 //创建地址池,名为vlan10 [SW-dhcp-pool-vlan
dhcp snooping原理配置
07-10
DHCP Snooping是一种网络安全技术,用于防止恶意DHCP服务器DHCP欺骗攻击。它基于交换机上的DHCP Snooping表,通过检查和验证DHCP消息的源MAC地址、IP地址和租约信息,确保只有授权的DHCP服务器可以提供IP地址给客户端。 工作原理如下: 1. 所有接入交换机端口默认为未信任状态,不允许发送DHCP请求或响应。 2. 管理员将指定的接入交换机端口标记为信任状态,允许发送DHCP消息。 3. 交换机在信任端口上监听DHCP Discover消息,并将源MAC地址、IP地址和租约信息添加到DHCP Snooping表中。 4. 当交换机接收到DHCP Offer、Request和Ack消息时,会验证源MAC地址、IP地址和租约信息是否与DHCP Snooping表中的相符。 5. 如果验证通过,交换机将允许该消息继续转发。否则,该消息将被丢弃。 配置步骤如下: 1. 开启DHCP Snooping功能: ``` switch(config)# ip dhcp snooping ``` 2. 标记信任和非信任接口: ``` switch(config)# interface <interface> switch(config-if)# ip dhcp snooping trust ``` 3. 配置DHCP绑定: ``` switch(config)# ip dhcp snooping binding <mac-address> vlan <vlan-id> interface <interface> ``` 4. 配置DHCP Snooping数据库保存位置(可选): ``` switch(config)# ip dhcp snooping database <filename> ``` 5. 配置DHCP Snooping选项(可选): ``` switch(config)# ip dhcp snooping option <option-name> <option-value> ``` 请注意,具体的配置步骤可能因不同的交换机型号和操作系统而有所差异,请参考相关厂商文档或命令行帮助进行配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值