一----DHCP-------Dynamic Host Configuration Protocol
名称:DHCP----动态主机设置协议
作用:帮助网络管理员管理及自动分配IP地址的网络协议
(一)----总计包类型
(1)----DHcpDiscover消息--------广播---------寻找DHCP服务器
(2)----DHcpOffer消息------------广播---------回应客户端我DHCP服务器在这呐(同时给出能给你的IP地址和GW,域名等)
(3)----DHcpRequest消息--------广播----------向DHCP服务器请求可用的IP地址(同意你预给我的那些地址信息)
(4)----DHcpAck消息-------------广播----------回应客户端并给其分配地址。
(5)----DHcpDecline消息-------------------告知服务器此IP地址已经被其他设备占用
(6)----DHcpNak消息-----------------------服务器发起的消息,用来拒绝客户端的DHcpRequest
(7)----DHcpRelease消息-------------------客户端告知服务器终止IP租赁关系
(8)----DHcpInform------------------------客户端已经获得IP地址,重新更新GW/DNS等信息。
(二)----初次请求IP地址时的数据流程
(1)----客户端-----广播----DHcpDiscover消息------寻找DHCP服务器
(2)----DHCP-----单播----DHcpOffer消息----------回应客户端我DHCP服务器在这呐(同时给出能给你的IP地址和GW,域名等)
(3)----客户端-----广播----DHcpRequest消息------向DHCP服务器请求可用的IP地址(同意你预给我的那些地址信息)
(4)----DHCP-----单播----DHcpAck消息-----------回应客户端并给其分配地址。
(三)----续约IP地址时的数据流程
当客户端获得IP地址租期的1/2-----------单播---主动向DHCP请求续约----------DHCPrequest
DHcpAck消息--计时器重置
当客户端获得IP地址租期的7/8时间-------单播---主动向DHCP请求续约----------DHCPrequest
当租期到时间后----终端设备撤销之前的IP地址
----客户端-----广播----DHcpDiscover消息------寻找DHCP服务器
-------------*******windows系统DHCP请求IP地址时,发送给DHCP服务器的标示符是自己MAC地址。********------------------
[Huawei]dhcp server trust option82 -------------------------信任Option82字段值内容
[Huawei]dhcp server database enable -----------------------DHCP的配置文件和地址信息保存到本地lease.txt和conflict.txt
二-----------DHCP中继
DHCP中继设备(就是你终端网关)将DHCP 客户端设备发出的DHCP广播包转为单播包
发送给DHCP服务器,实现DHCP服务器和DHCP终端设备的跨网段数据交互。
接口模式的DHCPserver适用于DHCP服务器和主机属于同一个网络
系统模式的DHCP server 多用于DHCP中继
(1)----做通网关地址与DHCP服务器地址之间的网络
(2)----搭建DHCP server(用系统模式定义地址池);DHCP-server接收DHCP中继包的接口启用DHCP
(3)----在网关接口下配置DHCP中继;
三------------DHCP Snooping
1----简述:
DHCP Snooping是DHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获得IP地址,并记录DHCP客户端IP地址与MAC地址
等参数的对应关系,防止网络上针对DHCP服务的攻击
2----应用:
(1)---防止DHCP服务器的仿冒者攻击
[SW-1]dhcp enable------------------------------------------------SW上开启DHCP功能
[SW-1]
[SW-1]
[SW-1]dhcp snooping enable-------------------------------------系统试图开启本SW的DHCP snooping功能
[SW-1]vlan 1
[SW-1-vlan1]dhcp snooping enable------------------------------开启此vlan的dhcp snooping功能
[SW-1-vlan1]quit
[SW-1-vlan1]
[SW-1]int G0/0/24
[SW-1-GigabitEthernet0/0/24]
[SW-1-GigabitEthernet0/0/24]dhcp snooping trusted----------对连接合法DHCP的接口配置位信任接口方向DHCP服务器发出的offer,ack等报文
[SW-1-GigabitEthernet0/0/24]quit
(2)---防止非DHCP用户攻击
手动指定的的用户的数据 SW不会转发
在DHCP网络中,静态获取IP地址的用户(非DHCP用户)对网络可能存在多种攻击,譬如仿冒DHCP Server、构造虚假DHCP Request报文等。这将为合法DHCP用户正常使用网络带来了一定的安全隐患。
配置接口的静态MAC表项功能后,设备将根据该接口下所有DHCP用户对应的DHCP Snooping动态绑定表项自动执行命令生成这些用户的静态MAC表项,并同时清除该接口的所有动态MAC表项、
关闭该接口学习动态MAC表项的能力以及开启该接口根据MAC表项匹配报文源MAC的能力。之后,只有源MAC与静态MAC表项匹配的报文才能够通过该接口,
否则报文会被丢弃。因此对于该接口下的非DHCP用户,只有管理员手动配置了此类用户的静态MAC表项其报文才能通过,否则报文将被丢弃。这样能够有效的防止非DHCP用户对网络的攻击。
[~HUAWEI]dhcp enable
[~HUAWEI]
[~HUAWEI]dhcp snooping enable
[~HUAWEI]
[~HUAWEI]dhcp snooping enable vlan 1
[~HUAWEI]
[~HUAWEI]int G1/0/1
[~HUAWEI-GE1/0/1]dhcp snooping enable
[*HUAWEI-GE1/0/1]
[*HUAWEI-GE1/0/1]dhcp snooping sticky-mac
[*HUAWEI-GE1/0/1]quit
[*HUAWEI]
(3)---防止DHCP报文泛洪攻击
在DHCP网络环境中,若存在DHCP用户短时间内向设备发送大量的DHCP报文,将会对设备的性能造成巨大的冲击以致可能会导致设备无法正常工作。
通过使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能将能够有效防止DHCP报文泛洪攻击。
[SW-1]dhcp enable
[SW-1]dhcp snooping enable
[SW-1]dhcp snooping enable vlan 1
[SW-1]
[SW-1]int G0/0/24
[SW-1-GigabitEthernet0/0/24]
[SW-1-GigabitEthernet0/0/24]dhcp snooping check dhcp-rate enable--------------开启DHCP报文速率的检测
[SW-1-GigabitEthernet0/0/24]dhcp snooping check dhcp-rate 20------------------允许本接口没秒发送20个DHCP报文,超过的丢弃(默认为每秒100个,范围1--100)
[SW-1-GigabitEthernet0/0/24]quit
(4)---防止仿冒DHCP报文攻击
在DHCP中,若攻击者仿冒合法用户的DHCP Request报文发往DHCP Server,将会导致用户的IP地址租约到期之后不能够及时释放,以致合法用户无法使用该IP地址
若攻击者仿冒合法用户的DHCP Release报文发往DHCP Server,将会导致用户异常下线。
在生成DHCP Snooping绑定表后,设备可根据绑定表项,对DHCP Request报文或DHCP Release报文进行匹配检查,
只有匹配成功的报文设备才将其转发,否则将丢弃。这将能有效的防止非法用户通过发送伪造DHCP Request或DHCP Release报文冒充合法用户续租或释放IP地址。
[SW-1]dhcp enable
[SW-1]dhcp snooping enable
[SW-1]dhcp snooping enable vlan 1
[SW-1]
[SW-1]int G0/0/24
[SW-1-GigabitEthernet0/0/24]
[SW-1-GigabitEthernet0/0/24]dhcp snooping dhcp-request enable-----------------开启DHCP请求报文的检测
[SW-1-GigabitEthernet0/0/24]quit
(5)---防止DHCP服务器拒绝服务攻击(饿死攻击)
若在网络中存在DHCP用户恶意申请IP地址,将会导致IP地址池中的IP地址快速耗尽以致DHCP Server无法为其他合法用户分配IP地址。另一方面,DHCP Server通常仅根据CHADDR字段来确认客户端的MAC地址。如果攻击者通过不断改变DHCP Request报文中的CHADDR字段向DHCP Server申请IP地址,将会导致DHCP Server上的地址池被耗尽,从而无法为其他正常用户提供IP地址。
为了抑制DHCP用户恶意申请IP地址,可配置设备或接口允许接入的最大用户数,当用户数达到该值时,则任何用户将无法通过此设备或接口成功申请到IP地址。为了防止攻击者不断改变DHCP Request报文中的CHADDR字段进行攻击,可使能检测DHCP Request报文帧头MAC地址与DHCP数据区中CHADDR字段是否相同的功能,相同则转发报文,否则丢弃。
[SW-1]dhcp enable
[SW-1]dhcp snooping enable
[SW-1]dhcp snooping enable vlan 1
[SW-1]
[SW-1]int G0/0/24
[SW-1-GigabitEthernet0/0/24]
[SW-1-GigabitEthernet0/0/24]dhcp snooping max-user-number 1-----------------此接口通过DHCP获得地址只能有一个(范围1--1024;默认1024)
[SW-1-GigabitEthernet0/0/24]dhcp snooping check dhcp-chaddr enable----------对DHCP报文的CHADDR字段进行检测(检测客户端的MAC,接口信息等)
9.6.4 (可选)配置 ARP 与 与 DHCP Snooping 的联动功能
DHCP Snooping设备在收到DHCP用户发出的DHCP Release报文时将会删除该用户对应的绑定表项,但若用户发生了异常下线而无法发出DHCP Release报文时,DHCP
Snooping设备将不能够及时的删除该DHCP用户对应的绑定表。
使能ARP与DHCP Snooping的联动功能,如果DHCP Snooping表项中的IP地址对应的ARP表项达到老化时间,则DHCP Snooping设备会对该IP地址进行ARP探测,如果在规
定的探测次数内探测不到用户,设备将删除用户对应的ARP表项。之后,设备将会再次按规定的探测次数对该IP地址进行ARP探测,如果最后仍不能够探测到用户,则设
备将会删除该用户对应的绑定表项。
注意:-----使用ARP与DHCP Snooping的联动功能之前,需要保证设备上具有与客户端同网段的IP地址用于ARP
[SW-1]
[SW-1]arp dhcp-snooping-detect enable-------------开启ARP与DHCP Snooping的联动功能,当ARP探测到dhcp用户无响应时清空本设备的dhcp snooping表项
9.6.5 (可选)配置用户下线后及时清除对应 MAC 表项功能
当某一DHCP用户下线时,设备上其对应的动态MAC表项还未达到老化时间,则设备在接收到来自网络侧以该用户IP地址为目的地址的报文时,将继续根据动态MAC表项
发此报文。这种无效的报文处理在一定程度上将会降低设备的性能。
设备在接收到DHCP用户下线时发送DHCP Release报文后,将会立刻删除用户对应的DHCP Snooping绑定表项。利用这种特性,使能当DHCP Snooping动态表项清除时移除
对应用户的MAC表项功能,则当用户下线时,设备将会及时的移除用户的MAC表项。
[SW-1]
[SW-1]dhcp snooping user-offline remove mac-address-------------当DHCP Snooping动态表项清除时移除对应用户的MAC表项
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
