今天带大家来了解一下DHCP Snooping技术,大家对DHCP相信都不会陌生,它是一种非常常见的技术,在企业的局域网中动态的为主机分配IP地址。当局域网内的主机数量不是很多的情况下,我们可以手动的为主机设置IP地址,当局域网中主机数量非常多的情况下,使用DHCP为主机动态分配IP地址,无疑是最佳的选择,可是这种方式虽然减轻了网络管理员的负担,但是基于它的工作机制,该协议在工作过程中可能存在漏洞。
对于一台主机而言,IP地址、默认网关及DNS服务器地址等配置信息是非常重要的,如果主机获取的相关信息有误,势必会导致通信中断。举个例子,我们知道网络中的主机是以广播的方式在网络中寻找DHCP服务器,网络中的所有DHCP服务器都会给予回应,谁先回应,主机就会从那台DHCP服务器处获取IP地址,如果有一台非法的DHCP服务器接入网络,就可能导致大量的主机获取错误的IP地址信息从而无法正常连接网络。DHCP Snooping就是有来避免出现这种情况的一种DHCP安全技术,它可以确保主机从合法的DHCP服务器处获取IP地址。那么DHCP Snooping是通过什么样的机制来提供DHCP服务的安全性呢?我们来一些看一下。
DHCP Snooping通过建立和维护DHCP Snooping绑定表来过滤不受信任的DHCP信息,该表内包括不受信任区域的用户MAC地址、IP地址、租用期和VLAN-ID接口等信息。DHCP Snooping将物理端口设置两种类型的端口,一个是信任端口,另一个是不信任端口。信任端口会正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃,这样就可以屏蔽到非法的DHCP服务器,确保主机从合法的DHCP服务器处获取IP地址。
下面我们来看一下具体的配置,DHCP Snooping配置起来还是比较简单的:
以华为交换机为例:
[SW]dhcp snooping enable
[sw]vlan 100
[sw-vlan100]dhcp snooping enable
[sw]interface GigabitEthernt 0/0/1
[sw- GigabitEthernt 0/0/1]dhcp snooping trusted
<sw>display dhcp snooping user-bing all
首先我们要在系统视图下开启dhcp snooping功能,该功能缺省情况下是关闭的。然后还需要VLAN视图下也开启dhcp snooping功能,再进入到连接合法DHCP服务器的接口视图下,使用dhcp snooping trusted命令将该接口指定为受信接口,缺省情况下接口为非受信。完成上述配置,主机就会从合法的DHCP服务器上获取IP地址,同时由于交换机开启了dhcp snooping 功能,就会侦听DHCP报文的交互过程并记录下来,可以使用display dhcp snooping user-bing all命令进行查看。
DHCP Snooping除了以上功能外,还可防止DHCP Server拒绝服务攻击、DHCP报文泛洪攻击、仿冒DHCP报文攻击等。
