一、采用DHCP服务的常见问题
架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了
网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题,常见的有:
●DHCP Server的冒充
●DHCP Server的DOS攻击,如DHCP耗竭攻击
●某些用户随便指定IP地址,造成IP地址冲突
1、DHCP Server的冒充
由于DHCP服务器和客户端之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数。只要让该DHCP服务器分配错误的IP地址和其他网络参数,那就会对网络造成非常大的危害。
2、DHCP Server的拒绝服务攻击
通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR(也就是Client MAC address)字段来判断客户端的MAC地址。正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。攻击者可以利用伪造MAC的方式发送DHCP请求,但这种攻击可以使用Cisco 交换机的端口安全特性来防止。端口安全特性(Port Security)可以限制每个端口只使用唯一的MAC地址。但是如果攻击者不修改DHCP请求报文的源MAC地址,而是修改DHCP报文中的CHADDR字段来实施攻击,那端口安全就不起作用了。由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端,所以攻击者可以通过大量发送伪造CHADDR的DHCP请求,导致DHCP服务器上的地址池被耗尽,从而无法为其他正常用户提供网络地址,这是一种DHCP耗竭攻击。DHCP耗竭攻击可以是纯粹的DOS攻击,也可以与伪造的DHCP服务器配合使用。当正常的DHCP服务器瘫痪时,攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址,使它们将信息转发给准备截取的恶意计算机。甚至即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的,但由于DHCP请求报文是广播报文,如果大量发送的话也会耗尽网络带宽,形成另一种拒绝服务攻击。
3、客户端随意指定IP地址
客户端并非一定要使用DHCP服务,它可以通过静态指定的方式来设置IP地址。如果随便指定的话,将会大大提高网络IP地址冲突的可能性。
二、DHCP Snooping技术介绍
DHCP监听(DHCP Snooping)是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性,交换机能够拦截第二层VLAN域内的所有DHCP报文。
DHCP监听将交换机端口划分为两类:
●非信任端口:通常为连接终端设备的端口,如PC,网络打印机等
●信任端口:连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口
通过开启DHCP监听特性,交换机限制用户端口(非信任端口)只能够发送DHCP请求,丢弃来自用户端口的所有其它DHCP报文,例如DHCP Offer报文等。而且,并非所有来自用户端口的DHCP请求都被允许通过,交换机还会比较DHCP 请求报文的(报文头里的)源MAC地址和(报文内容里的)DHCP客户机的硬件地址(即CHADDR字段),只有这两者相同的请求报文才会被转发,否则将被丢弃。这样就防止了DHCP耗竭攻击。信任端口可以接收所有的DHCP报文。通过只将交换机连接到合法DHCP服务器的端口设置为信任端口,其他端口设置为非信任端口,就可以防止用户伪造DHCP服务器来攻击网络。DHCP监听特性还可以对端口的DHCP报文进行限速。通过在每个非信任端口下进行限速,将可以阻止合法DHCP请求报文的广播攻击。DHCP监听还有一个非常重要的作用就是建立一张DHCP监听绑定表(DHCP Snooping Binding)。一旦一个连接在非信任端口的客户端获得一个合法的DHCP Offer,交换机就会自动在DHCP监听绑定表里添加一个绑定条目,内容包括了该非信任端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信息。如:
Switch#show ip dhcp snooping binding |
这张DHCP监听绑定表为进一步部署IP源防护(IPSG)和动态ARP检测(DAI)提供了依据。说明:
I. 非信任端口只允许客户端的DHCP请求报文通过,这里只是相对于DHCP报文来说的。其他非DHCP报文还是可以正常转发的。这就表示客户端可以以静态指定IP地址的方式通过非信任端口接入网络。由于静态客户端不会发送DHCP报文,所以DHCP监听绑定表里也不会有该静态客户端的记录。信任端口的客户端信息不会被记录到DHCP监听绑定表里。如果有一客户端连接到了一个信任端口,即使它是通过正常的DHCP方式获得IP地址,DHCP监听绑定表里也不有该客户端的记录。如果要求客户端只能以动态获得IP的方式接入网络,则必须借助于IPSG和DAI技术。
II.交换机为了获得高速转发,通常只检查报文的二层帧头,获得目标MAC地址后直接转发,不会去检查报文的内容。而DHCP监听本质上就是开启交换机对DHCP报文的内容部分的检查,DHCP报文不再只是被检查帧头了。
III. DHCP监听绑定表不仅用于防御DHCP攻击,还为后续的IPSG和DAI技术提供动态数据库支持。
IV. DHCP监听绑定表里的Lease列就是每个客户端对应的DHCP租约时间。当客户端离开网络后,该条目并不会立即消失。当客户端再次接入网络,重新发起DHCP请求以后,相应的条目内容就会被更新。如上面的00F.1FC5.1008这个客户端原本插在Fa0/1端口,现在插在Fa0/3端口,相应的记录在它再次发送DHCP请求并获得地址后会更新为:
Switch#show ip dhcp snooping binding |
V.当交换机收到一个DHCPDECLINE或DHCPRELEASE广播报文,并且报文头的源MAC地址存在于DHCP监听绑定表的一个条目中。但是报文的实际接收端口与绑定表条目中的端口字段不一致时,该报文将被丢弃。
●DHCPRELEASE报文:此报文是客户端主动释放IP 地址(如Windows 客户端使用ipconfig/release),当DHCP服务器收到此报文后就可以收回IP地址,分配给其他的客户端了
●DHCPDECLINE报文:当客户端发现DHCP服务器分配给它的IP地址无法使用(如IP地址发生冲突)时,将发出此报文让DHCP服务器禁止使用这次分配的IP地址。
VI. DHCP监听绑定表中的条目可以手工添加。
VII. DHCP监听绑定表在设备重启后会丢失,需要重新绑定,但可以通过设置将绑定表保存在flash或者tftp/ftp服务器上,待设备重启后直接读取,而不需要客户端再次进行绑定
VIII. 当前主流的Cisco交换机基本都支持DHCP Snooping功能。
三、DHCP Option 82
当DHCP服务器和客户端不在同一个子网内时,客户端要想从DHCP服务器上分配到IP地址,就必须由DHCP中继代理(DHCP Relay Agent)来转发DHCP请求包。DHCP中继代理将客户端的DHCP报文转发到DHCP服务器之前,可以插入一些选项信息,以便DHCP服务器能更精确的得知客户端的信息,从而能更灵活的按相应的策略分配IP地址和其他参数。这个选项被称为:DHCP relay agent information option(中继代理信息选项),选项号为82,故又称为option 82,相关标准文档为RFC3046。Option 82是对DHCP选项的扩展应用。选项82只是一种应用扩展,是否携带选项82并不会影响DHCP原有的应用。另外还要看DHCP服务器是否支持选项82。不支持选项82的DHCP服务器接收到插入了选项82的报文,或者支持选项82的DHCP服务器接收到了没有插入选项82的报文,这两种情况都不会对原有的基本的DHCP服务造成影响。要想支持选项82带来的扩展应用,则DHCP服务器本身必须支持选项82以及收到的DHCP报文必须被插入选项82信息。从非信任端口收到DHCP请求报文,不管DHCP服务器和客户端是否处于同一子网,开启了DHCP监听功能的Cisco交换机都可以选择是否对其插入选项82信息。默认情况下,交换机将对从非信任端口接收到的DHCP请求报文插入选项82信息。
当一台开启DHCP监听的汇聚交换机和一台插入了选项82信息的边界交换机(接入交换机)相连时:
●如果边界交换机是连接到汇聚交换机的信任端口,那么汇聚交换机会接收从信任端口收到的插入选项82的DHCP报文信息,但是汇聚交换机不会为这些信息建立DHCP监听绑定表条目。
●如果边界交换机是连接到汇聚交换机的非信任端口,那么汇聚交换机会丢弃从该非信任端口收到的插入了选项82的DHCP报文信息。但在IOS 12.2(25)SE版本之后,汇聚交换机可以通过在全局模式下配置一条ip dhcp snooping information allow-untrusted命令。这样汇聚交换机就会接收从边界交换机发来的插入选项82的DHCP报文信息,并且也为这些信息建立DHCP监听绑定表条目。
在配置汇聚交换机下联口时,将根据从边界交换机发送过来的数据能否被信任而设置为信任或者非信任端口。
四、DHCP Snooping的配置
Switch(config)#ip dhcp snooping //打开DHCP Snooping功能 建议:在配置了端口的DHCP报文限速之后,最好配置以下两条命令 Switch(config)#ip dhcp snooping information option //设置交换机是否为非信任端口收到的DHCP报文插入Option 82,默认即为开启状态 Switch(config)#ip dhcp snooping database flash:dhcp_snooping.db //将DHCP监听绑定表保存在flash中,文件名为dhcp_snooping.db |
五、显示DHCP Snooping的状态
Switch#show ip dhcp snooping //显示当前DHCP监听的各选项和各端口的配置情况 Switch#show ip dhcp snooping binding //显示当前的DHCP监听绑定表 Switch#show ip dhcp snooping database //显示DHCP监听绑定数据库的相关信息 Switch#show ip dhcp snooping statistics //显示DHCP监听的工作统计 Switch#clear ip dhcp snooping binding //清除DHCP监听绑定表;注意:本命令无法对单一条目进行清除,只能清除所有条目 Switch#clear ip dhcp snooping database statistics //清空DHCP监听绑定数据库的计数器 Switch#clear ip dhcp snooping statistics //清空DHCP监听的工作统计计数器 |
六、DHCP Snooping的实例
1、单交换机(DHCP服务器和DHCP客户端位于同一VLAN)
环境:Windows2003 DHCP服务器和客户端都位于vlan 10;服务器接在fa0/1,客户端接在fa0/2
2960交换机相关配置:
ip dhcp snooping vlan 10 |
说明:
●本例中交换机对于客户端的DHCP 请求报文将插入选项82 信息;也可以通过配置no ip dhcp snooping information option命令选择不插入选项82信息。两种情况都可以。
●客户端端口推荐配置spanning-tree portfast命令,使得该端口不参与生成数计算,节省端口启动时间,防止可能因为端口启动时间过长导致客户端得不到IP地址。
●开启DHCP监听特性的vlan并不需要该vlan的三层接口被创建。
2、单交换机(DHCP服务器和DHCP客户端位于同一VLAN)
环境:Cisco IOS DHCP服务器(2821路由器)和PC客户端都位于vlan 10;路由器接在交换机的fa0/1,客户端接在fa0/2
2960交换机相关配置:
ip dhcp snooping vlan 10 ip dhcp snooping ! interface FastEthernet0/1 description : Connect to IOS DHCP Server C2821_Gi0/0 switchport access vlan 10 switchport mode access spanning-tree portfast ip dhcp snooping trust ! interface FastEthernet0/2 description : Connect to DHCP Client switchport access vlan 10 switchport mode access spanning-tree portfast ip dhcp snooping limit rate 15 |
2821路由器相关配置:
ip dhcp excluded-address 192.168.10.1 192.168.10.2 |
说明:
I、需要注意的是路由器连接到交换机的端口需要配置ip dhcp relay information trusted,否则客户端将无法得到IP地址。
这是因为交换机配置了(默认情况)ip dhcp snooping information option,此时交换机会在客户端发出的DHCP请求报文中插入选项82信息。另一方面由于DHCP服务器(这里指Cisco IOS DHCP服务器)与客户端处于同一个VLAN中,所以请求实际上并没有经过DHCP中继代理。
对于Cisco IOS DHCP服务器来说,如果它收到的DHCP请求被插入了选项82信息,那么它会认为这是一个从DHCP中继代理过来的请求报文,但是它检查了该报文的giaddr字段却发现是0.0.0.0,而不是一个有效的IP地址(DHCP请求报文中的giaddr字段是该报文经过的第一个DHCP中继代理的IP地址,具体请参考DHCP报文格式),因此该报文被认为“非法”,所以将被丢弃。可以参考路由器上的DHCP的debug过程。
Cisco IOS里有一个命令,专门用来处理这类DHCP请求报文:ip dhcp relay information trusted(接口命令)或者ip dhcp relay information trust-all(全局命令,对所有路由器接口都有效);这两条命令的作用就是允许被插入了选项82信息,但其giaddr字段为0.0.0.0的DHCP请求报文通过。
II、如果交换机不插入选项82信息,即配置了no ip dhcp relay information trusted,那么就不会出现客户端无法得到IP地址的情况,路由器也不需要配置ip dhcp relay information trusted命令。
III、Windows DHCP服务器应该没有检查这类DHCP请求的机制,所以上一个实例中不论交换机是否插入选项82信息,客户端总是可以得到IP地址。
3、单交换机(DHCP服务器和DHCP客户端位于不同VLAN)
环境:Cisco IOS DHCP服务器(2821路由器)的IP地址为192.168.2.2,位于vlan 2;DHCP客户端位于vlan 10;交换机为3560,路由器接在fa0/1,客户端接在fa0/2
发表评论
-
cisco router完美删除单条ACL
2010-03-12 09:41 1240路由器上创建了多条访问控制列表,检查时发现有一条不妥,想将它删 ... -
S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程
2010-01-12 11:23 1666使用以太网物理端口下面的line-rate命令,对该端口的出方 ... -
华为中低端交换机mac+ip+端口绑定的配置总结
2009-12-24 14:15 2212好多时候,往往是出于安全性考虑,客户要求把交换机下挂pc的m ... -
cisco ios 升级方法和TFTP的用法
2009-08-14 10:21 8317升级方法: 现总结归纳出CISCO路由器IOS映像升级的几种方 ... -
CISCO 路由器做VPN Server详细设置
2009-08-13 22:50 4416NAT(config)#username velino pa ... -
cisco路由器上四种封BT的方法
2009-08-04 17:32 1505方法1:封锁BT端口 大家都知道如果要限制某项服务,就要在路 ... -
CISCO交换机配置命令大全
2009-07-16 10:18 3562switch> ... -
Cisco Catalyst 2950 配置-实现端口与IP的绑定
2009-07-15 09:58 1080在Cisco catalyst 2950交换机上,通过配置ex ... -
CISCO 2950交换机配置命令
2009-07-15 09:57 1572CISCO 2950交换机配置命令 ... -
Cisco 2950端口镜像设置
2009-07-15 09:57 1900先解释一下端口镜像:端口镜像简单的说,就是把交换机一个(数个) ... -
Cisco 2950密码破解
2009-07-14 11:45 1238Cisco 2950密码破解 ⒈连接交换机的con ... -
网络故障预防及解决办法
2009-07-14 11:37 918引起网络故障主要有以 ... -
不能用公网地址访问内网服务器的详解
2009-07-14 11:36 1439... -
思科交换机的常用配置
2009-07-14 11:02 2388思科交换机的常用配置1、 交换机的端口2、端口:以太网端口( ... -
Cisco3550配置作为DHCP服务器工程实例
2009-07-13 10:23 1131一台3550EMI交换机,划分三个VLAN,valn2为服务器 ... -
交换机做DHCP服务器
2009-07-07 10:29 998什么是DHCP服务器呢?为 ... -
HUAWEI&CISCO交换机端口镜像配置指导
2009-07-06 15:11 10901. Quidway 3026端口镜像配置方法: 以下例子中 ... -
CISCO交换机端口镜像配置
2009-07-06 15:10 2346先解释一下端口镜像:端口镜像简单的说,就是把交换机一个(数个) ...
相关推荐
开启Cisco交换机DHCP_Snooping功能.doc
Cisco交换机DHCP_Snooping功能详述.doc
DHCP Snooping(Cisco交换机)功能标准配置对照 DHCP Snooping 是一种网络安全机制,旨在防止在局域网中出现非法的 DHCP 服务器,以保护网络的安全和稳定。DHCP Snooping 可以检测和阻止非法的 DHCP 服务器,并防止...
解决 IP 地址冲突的 Cisco ...本文提供了一种使用 Cisco 交换机解决 IP 地址冲突的方法,通过使用 DHCP Snooping 和 ARP Inspection 功能来限制用户的 IP 地址分配和 ARP 报文,以防止用户篡改 MAC 地址和 IP 地址。
DHCP Snooping 是一种 DHCP 安全特性,Cisco 交换机支持在每个 VLAN 基础上启用 DHCP 监听特性。通过这种特性,交换机能够拦截第二层 VLAN 域内的所有 DHCP 报文。DHCP 监听将交换机端口划分为两类: * 非信任端口...
DHCP Snooping是Cisco交换机提供的一个增强型DHCP安全特性,它可以在第二层网络中拦截并监控DHCP报文,从而提高网络安全性。 - **基本原理**: 通过将交换机端口划分为信任端口和非信任端口,确保只有合法的DHCP...
除了DHCP Snooping之外,Cisco还提供了一个名为**IP Source Guard**的功能,该功能可以进一步增强网络的安全性。IP Source Guard类似于DHCP Snooping,在DHCP Snooping的非信任端口上启用此功能。初始状态下,端口上...
在文档中提到的“ipdhcpsnooping”命令,实际上是Cisco交换机上配置DHCP Snooping特性的命令。此命令可以启动DHCP Snooping功能,并可对特定的VLAN进行配置。例如,命令“ipdhcpsnooping vlan10”表示针对VLAN 10...
思科交换机支持DHCP Snooping,可以对DHCP 流量进行监控和过滤。 基本部署: 1. 启用DHCP Snooping:Switch(config)#ip dhcp snooping 2. 设置信任端口:Switch(config-if)#ip dhcp snooping trust 3. 设置DHCP ...
1. **启用DHCP Snooping**:在交换机上全局启用DHCP Snooping服务。 2. **设置信任接口**:指定哪些接口是信任的,通常只允许DHCP服务器的接口被标记为信任。非信任接口上的DHCP请求将受到更严格的检查。 3. **...
1.5.2 与DHCP Snooping配合的IPv4 动态绑定功能配置举例 1.5.3 IPv6 静态绑定表项配置举例 1.5.4 与DHCPv6 Snooping配合的IPv6 动态绑定表项配置举例 1.5.5 与ND Snooping配合的IPv6 动态绑定表项配置举例 1.6 ...
Cisco3750交换机配置DHCP服务器实例 本文档介绍了如何在Cisco 3750交换机上配置DHCP服务器实例,实现_vlan_之间的独立网络环境。该配置中,交换机划分三个_vlan_:vlan2 为服务器所在网络,vlan3 和 vlan4 分别为...
【Cisco交换机IPSourceGuard功能】 IP Source Guard是Cisco公司推出的一种网络安全技术,主要用于防止IP地址欺骗和未经授权的设备接入网络。此功能是基于IP/MAC的端口流量过滤机制,旨在保护局域网(LAN)环境中的...
IP源防护(IP Source Guard,简称IPSG)是Cisco交换机提供的一种安全特性,用于防止局域网内的IP地址欺骗攻击。IPSG通过基于IP/MAC的端口流量过滤技术,确保只有合法的设备能够使用指定的IP地址访问网络。这一功能...
以上四大安全特性——生成树协议、风暴控制、端口安全和DHCP Snooping,在思科2960系列交换机的安全管理中扮演着至关重要的角色。这些特性不仅可以提高网络的稳定性,还可以有效防御各种网络攻击,保障网络安全运行...
本文将详细探讨如何利用Cisco交换机解决IP地址冲突,特别是通过配置DHCP Snooping和ARP Inspection功能来避免冲突。 首先,DHCP(Dynamic Host Configuration Protocol)是一种自动分配IP地址的服务,它可以有效地...
思科3550系列交换机是思科系统推出的一款功能强大的可堆叠式多层智能交换机,主要用于企业网络的中层架构,提供高性能的局域网(LAN)服务。该系列交换机支持先进的服务质量(QoS)、安全特性、网络管理以及IPv6过渡...
当交换机启用DHCP Snooping时,它会监听DHCP报文,并根据接收到的DHCP Request或DHCP Ack报文建立和维护一个绑定表,该表包含MAC地址、IP地址、租约期和VLAN ID等信息。通过将某些端口标记为"信任",只有这些端口...
思科 3560 配置 DHCP Snooping 和 Dynamic ARP Inspection 功能,而港湾交换机则配置 PVLAN 功能。这种配置可以实现 ARP 防护和 VLAN 隔离。 神州数码解决方案: 神州数码解决方案是指使用神州数码设备和技术来...
针对目前学校主干是cisco交换机,接入层品牌太杂,档次参差不齐,用户自动从cisco三层交换机上获取地址上网的情况,我认为比较好的办法就是在cisco交换机上启用dhcp snooping 以及arp inspection功能来尽可能防止arp...