任務(wù)4.2 交換機DHCP Snooping配置

Module4網(wǎng)絡(luò)安全技術(shù)《網(wǎng)絡(luò)互聯(lián)技術(shù)》任務(wù)4.2

交換機DHCPSnooping

配置DHCP基本概念DHCP攻擊介紹DHCPSnooping原理DHCP及DHCPSnooping配置流程DHCP及DHCPSnooping配置命令DHCP在應(yīng)用的過程中存在安全方面的問題，如在遭受DHCPServer仿冒者攻擊、DHCPServer拒絕服務(wù)攻擊等都會影響網(wǎng)絡(luò)的正常通信。DHCPSnooping可以有效防御DHCP各類攻擊，保障DHCP環(huán)境的安全穩(wěn)定。本次任務(wù)介紹DHCPSnooping的基本原理和配置方法。任務(wù)背景準備知識1.DHCP基本概念DHCP環(huán)境下的角色DHCP服務(wù)器：負責(zé)為DHCP客戶端分配網(wǎng)絡(luò)參數(shù)。DHCP可以是專用服務(wù)器，也可以是支持DHCP服務(wù)的網(wǎng)絡(luò)設(shè)備。DHCP客戶端：自動獲取IP地址等網(wǎng)絡(luò)參數(shù)的設(shè)備。如用戶終端（計算機、IP電話）、AP等。DHCP中繼。負責(zé)轉(zhuǎn)發(fā)DHCP服務(wù)器和DHCP客戶端之間的DHCP報文，協(xié)助DHCP服務(wù)器向DHCP客戶端動態(tài)分配網(wǎng)絡(luò)參數(shù)的設(shè)備。DHCP服務(wù)器和DHCP客戶端不在同一網(wǎng)段，就需要DHCP中繼設(shè)備轉(zhuǎn)發(fā)協(xié)議報文。DHCP角色1.DHCP基本概念DHCP地址池DHCP服務(wù)器可以為客戶端分配的所有IP地址的集合。包括IP地址范圍、網(wǎng)關(guān)、DNS等網(wǎng)絡(luò)參數(shù)?；诮涌诜绞降牡刂烦兀旱刂烦貫镈HCP服務(wù)器接口所屬網(wǎng)段的IP地址，且地址池中地址只能分配給此接口下的客戶端。適用于DHCP服務(wù)器與客戶端在同一個網(wǎng)段的場景?；谌址绞降牡刂烦兀涸谙到y(tǒng)視圖下創(chuàng)建的全局地址池，同一DHCP服務(wù)器可以配置多個地址池。服務(wù)器接口調(diào)用全局地址池為其所連接的客戶端分配地址。無DHCP中繼場景1.DHCP基本概念DHCP地址池DHCP服務(wù)器可以為客戶端分配的所有IP地址的集合。包括IP地址范圍、網(wǎng)關(guān)、DNS等網(wǎng)絡(luò)參數(shù)?；诮涌诜绞降牡刂烦兀旱刂烦貫镈HCP服務(wù)器接口所屬網(wǎng)段的IP地址，且地址池中地址只能分配給此接口下的客戶端。適用于DHCP服務(wù)器與客戶端在同一個網(wǎng)段的場景?；谌址绞降牡刂烦兀涸谙到y(tǒng)視圖下創(chuàng)建的全局地址池，同一DHCP服務(wù)器可以配置多個地址池。服務(wù)器接口調(diào)用全局地址池為其所連接的客戶端分配地址。有DHCP中繼場景1.DHCP基本概念DHCP工作原理在沒有部署DHCP中繼的場景下，DHCP客戶端與DHCP服務(wù)器的報文交互過程分為以下四個階段：發(fā)現(xiàn)階段：DHCP客戶端廣播發(fā)送Discover報文來尋找DHCP服務(wù)器；提供階段：DHCP服務(wù)器單播回應(yīng)Offer報文，內(nèi)含可供分配的IP地址；選擇階段：如果有多個DHCP服務(wù)器向DHCP客戶端回應(yīng)DHCPOFFER報文，則DHCP客戶端一般只接收第一個收到的DHCPOFFER報文。然后DHCP客戶端廣播發(fā)送REQUEST報文，并通知所有DHCP服務(wù)器自己選用的地址；確認階段：DHCP服務(wù)器單播回應(yīng)DHCPACK報文，確認分配。DHCP報文交互過程（無中繼）1.DHCP基本概念DHCP工作原理在部署DHCP中繼的場景下，DHCP客戶端與DHCP服務(wù)器的報文交互過程也分為四個階段。主要差異是DHCP中繼在DHCP服務(wù)器和DHCP客戶端之間轉(zhuǎn)發(fā)DHCP報文，以保證DHCP服務(wù)器和DHCP客戶端可以正常交互。DHCP報文交互過程（無中繼）2.DHCP攻擊介紹DHCP仿冒者攻擊DHCP客戶端和服務(wù)器之間無認證機制，會導(dǎo)致非法DHCP服務(wù)器分配錯誤地址，導(dǎo)致用戶無法使用網(wǎng)絡(luò)。DHCP仿冒者攻擊2.DHCP攻擊介紹DHCP拒絕服務(wù)攻擊攻擊者偽造虛假客戶端，惡意申請IP地址，導(dǎo)致DHCP服務(wù)器地址池中IP地址快速耗盡而不能為合法用戶提供服務(wù)。DHCP拒絕服務(wù)攻擊2.DHCP攻擊介紹仿冒DHCP報文攻擊攻擊者冒充合法用戶不斷向DHCP服務(wù)器發(fā)送DHCPRequest報文來續(xù)租IP地址，會導(dǎo)致這些到期的IP地址無法正?；厥眨灾乱恍┖戏ㄓ脩舨荒塬@得IP地址。攻擊者仿冒合法用戶的DHCPRelease報文發(fā)往DHCP服務(wù)器，將會導(dǎo)致用戶異常下線。仿冒DHCP報文攻擊2.DHCP攻擊介紹DHCP報文泛洪攻擊攻擊者短時間內(nèi)向設(shè)備發(fā)送大量的DHCP報文，將會對設(shè)備的性能造成巨大的沖擊以致可能會導(dǎo)致設(shè)備無法正常工作。DHCP報文泛洪攻擊3.DHCPSnooping原理原理DHCPSnooping是DHCP的一種安全特性，用于保證DHCP客戶端從合法的DHCP服務(wù)器獲取IP地址，并記錄DHCP客戶端IP地址與MAC地址等參數(shù)的對應(yīng)關(guān)系，防止網(wǎng)絡(luò)上針對DHCP攻擊。預(yù)防DHCP仿冒者攻擊配置信任接口。只有信任接口允許接收服務(wù)器發(fā)送的DHCPOffer、DHCPACK等報文，非信任接口收到DHCP報文后丟棄處理。預(yù)防DHCP仿冒者攻擊3.DHCPSnooping原理預(yù)防DHCP服務(wù)拒絕攻擊配置允許接入的最大用戶數(shù)以及檢測DHCPRequest報文幀頭源MAC與DHCP數(shù)據(jù)區(qū)中CHADDR字段（客戶端MAC地址）是否一致功能。當(dāng)接口下DHCPSnooping綁定表項數(shù)達到最大值時，后續(xù)用戶將無法接入。當(dāng)幀頭源MAC與CHADDR字段不一致時，代表該客戶端為偽造客戶端，丟棄其發(fā)送的報文。預(yù)防DHCP拒絕服務(wù)攻擊3.DHCPSnooping原理預(yù)防仿冒DHCP報文攻擊配置DHCPSnooping綁定表功能。將DHCPRequest和DHCPRelease報文與綁定表進行匹配，檢查報文中的VLAN、IP、MAC、接口信息，以判別報文是否合法。預(yù)防仿冒DHCP報文攻擊3.DHCPSnooping原理預(yù)防DHCP報文泛洪攻擊配置對DHCP報文上送速率檢測功能。允許在規(guī)定速率內(nèi)上送DHCP報文，超過規(guī)定速率的報文將會被丟棄。預(yù)防DHCP報文泛洪攻擊4.DHCP及DHCPSnooping配置流程DHCP配置流程如下：開啟DHCP功能；配置全局地址池：地址池范圍、網(wǎng)關(guān)地址、DNS等參數(shù)設(shè)置；接口開啟DHCP服務(wù)器功能：采用全局地址池或接口地址池；配置DHCP中繼服務(wù)：依據(jù)實際網(wǎng)絡(luò)環(huán)境確定是否需要配置DHCP中繼服務(wù)。DHCPSnooping配置流程如下：開啟DHCPSnooping功能，包括全局開啟，以及VLAN或接口下開啟；配置DHCPSnooping各項安全功能。（1）開啟DHCP功能命令：dhcpenable說明：此命令同時也是配置DHCP中繼、安全等相關(guān)功能的總開關(guān)視圖：系統(tǒng)視圖舉例：交換機S1開啟DHCP功能。[S1]dhcpenable5.DHCP及DHCPSnooping配置命令（2）創(chuàng)建全局地址池命令：ippoolip-pool-name

說明：一臺DHCP服務(wù)器可以創(chuàng)建多個全局地址池視圖：系統(tǒng)視圖舉例：交換機S1創(chuàng)建名為vlan10_pool的地址池。[S1]ippoolvlan10_pool5.DHCP及DHCPSnooping配置命令（3）配置全局地址池下可分配的網(wǎng)段地址命令：networkip-address[mask{mask|mask-length}]說明：每個地址池只能配置一個網(wǎng)段視圖：IP地址池視圖舉例：交換機S1配置地址池vlan10_pool的分配網(wǎng)段為10.1.1.0/24。[S1]ippoolvlan10_pool[S1-ip-pool-vlan10_pool]network10.1.1.0mask245.DHCP及DHCPSnooping配置命令（4）配置IP地址池中不參與自動分配的IP地址范圍命令：excluded-ip-addressstart-ip-address[end-ip-address]說明：可以排除單個IP地址或多個連續(xù)IP地址視圖：IP地址池視圖舉例：S1地址池vlan10_pool不分配地址范圍10.1.1.101-10.1.1.150及10.1.1.200。[S1]ippoolvlan10_pool[S1-ip-pool-vlan10_pool]excluded-ip-address10.1.1.10110.1.1.150[S1-ip-pool-vlan10_pool]excluded-ip-address10.1.1.2005.DHCP及DHCPSnooping配置命令（5）配置為DHCP客戶端分配的網(wǎng)關(guān)地址命令：gateway-listip-address

說明：網(wǎng)關(guān)地址隸屬于地址池范圍視圖：IP地址池視圖舉例：S1地址池vlan10_pool為客戶端分配網(wǎng)關(guān)地址為10.1.1.254。[S1]ippoolvlan10_pool[S1-ip-pool-vlan10_pool]gateway-list10.1.1.2545.DHCP及DHCPSnooping配置命令（6）配置為DHCP客戶端分配的DNS地址命令：dns-listip-address

說明：可配置多個DNS地址，第一個為主DNS視圖：IP地址池視圖舉例：S1地址池vlan10_pool為客戶端分配DNS地址為8.8.8.8和114.114.114.114。[S1]ippoolvlan10_pool[S1-ip-pool-vlan10_pool]dns-list8.8.8.8[S1-ip-pool-vlan10_pool]dns-list114.114.114.1145.DHCP及DHCPSnooping配置命令（7）接口開啟DHCPServer功能命令：dhcpselect{global|interface}說明：global表示接口選擇對應(yīng)的全局地址池為客戶端分配地址；interface表示采用接口地址池為客戶端分配地址視圖：接口視圖舉例1：S1的VLANIF

10接口開啟采用全局地址池的DHCPServer功能。舉例2：S1的VLANIF

10接口開啟采用接口地址池的DHCPServer功能。[S1]intvlanif10[S1-Vlanif10]dhcpselectglobal[S1]intvlanif10[S1-Vlanif10]dhcpselectinterface5.DHCP及DHCPSnooping配置命令（8）開啟DHCP中繼功能命令：dhcpselectrelay說明：DHCP客戶端的網(wǎng)關(guān)設(shè)備配置視圖：接口視圖舉例：S1的VLANIF

10接口下開啟DHCP中繼功能。[S1]intvlanif10[S1-Vlanif10]dhcpselectrelay5.DHCP及DHCPSnooping配置命令（9）配置DHCP中繼所代理的DHCP服務(wù)器的IP地址命令：dhcprelayserver-ipip-address說明：DHCP客戶端的網(wǎng)關(guān)設(shè)備配置視圖：接口視圖舉例：S1的VLANIF

10接口指定DHCP中繼代理的服務(wù)器地址為10.2.1.254。[S1-Vlanif10]dhcprelayserver-ip10.2.1.2545.DHCP及DHCPSnooping配置命令（10）開啟DHCPSnooping功能命令：dhcpsnoopingenable說明：VLAN、接口下配置此功能，需要先全局開啟DHCPSnooping功能視圖：系統(tǒng)視圖、VLAN視圖、接口視圖舉例1：交換機S1中VLAN10開啟DHCPSnooping。舉例2：交換機S1中G0/0/1開啟DHCPSnooping。[S1]dhcpsnoopingenable[S1]vlan10[S1-vlan10]dhcpsnoopingenable[S1]dhcpsnoopingenable[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]dhcpsnoopingenable5.DHCP及DHCPSnooping配置命令（11）設(shè)置可信任接口命令：dhcpsnoopingtrusted說明：缺省情況下，所有接口均為不可信任接口視圖：接口視圖舉例：交換機S1中G0/0/1設(shè)置為信任接口。[S1]dhcpsnoopingenable[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]dhcpsnoopingtrusted5.DHCP及DHCPSnooping配置命令（12）開啟檢測DHCPRequest報文幀頭源MAC地址與CHADDR字段是否一致功能命令：dhcpsnoopingcheckdhcp-chaddrenable說明：避免攻擊者修改CHADDR字段反復(fù)申請IP地址，導(dǎo)致地址池被耗盡視圖：VLAN視圖、接口視圖舉例1：交換機S1中VLAN10下所有成員接口開啟源MAC、CHADDR一致性檢測功能。舉例2：交換機S1的接口G0/0/1開啟源MAC、CHADDR一致性檢測功能。[S1]vlan10[S1-vlan10]dhcpsnoopingenable[S1-vlan10]dhcpsnoopingcheckdhcp-chaddrenable[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]dhcpsnoopingenable[S1-GigabitEthernet0/0/1]dhcpsnoopingcheckdhcp-chaddrenable5.DHCP及DHCPSnooping配置命令（13）限制最大DHCP用戶接入數(shù)命令：dhcpsnoopingmax-user-numbernumber說明：防止DHCP服務(wù)拒絕攻擊視圖：系統(tǒng)視圖、VLAN視圖、接口視圖舉例1：交換機S1限制最多存在50個DHCP客戶端。舉例2：交換機S1限制vlan10中最多存在30個DHCP客戶端。[S1]dhcpsnoopingenable[S1]dhcpsnoopingmax-user-number50[S1-vlan10]dhcpsnoopingenable[S1-vlan10]dhcpsnoopingmax-user-number305.DHCP及DHCPSnooping配置命令（14）開啟對DHCP報文進行綁定表匹配檢查的功能命令：dhcpsnoopingcheckdhcp-requestenable說明：對DHCPRequest或DHCPRelease報文進行匹配檢查視圖：系統(tǒng)視圖、VLAN視圖、接口視圖舉例1：交換機S1的G0/0/1口使能DHCP報文綁定表匹配檢查功能。舉例2：交換機S1的VLAN

10使能DHCP報文綁定表匹配檢查功能。[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]dhcpsnoopingenable[S1-GigabitEthernet0/0/1]dhcpsnoopingcheckdhcp-requestenable[S1]vlan10[S1-vlan10]dhcpsnoopingenable[S1-vlan10]dhcpsnoopingcheckdhcp-requestenable5.DHCP及DHCPSnooping配置命令（15）開啟對DHCP報文上送DHCP報文處理單元的速率檢測功能命令：dhcpsnoopingcheckdhcp-rateenable[rate]說明：rate為DHCP報文上送至DHCP報文處理單元的最大允許速率，取值范圍為1~100，單位pps，默認值為100。超過rate指定速率的報文將被丟棄視圖：系統(tǒng)視圖、VLAN視圖、接口視圖舉例1：交換機S1使能對DHCP報文上送DHCP報文處理單元的速率檢測功能。舉例2：交換機S1VLAN

10使能對DHCP報文上送DHCP報文處理單元的速率檢測功能。[S1]dhcpsnoopingcheckdhcp-rateenable[S1]vlan10[S1-vlan10]dhcpsnoopingenable[S1-vlan10]dhcpsnoopingcheckdhcp-rateenable5.DHCP及DHCPSnooping配置命令6.任務(wù)實施：交換機DHCPSnooping配置（1）掌握DHCPSnooping的基本原理；（2）掌握DHCPSnooping安全功能的配置方法。（一）任務(wù)目的

某公司網(wǎng)絡(luò)通過DHCP協(xié)議為VLAN10用戶終端動態(tài)分配網(wǎng)絡(luò)參數(shù)，以滿足用戶的網(wǎng)絡(luò)訪問需求。為保證DHCP環(huán)境的安全穩(wěn)定運行，管理員計劃對DHCP協(xié)議進行必要的安全配置，以避免DHCP仿冒攻擊、DHCP服務(wù)拒絕攻擊及DHCP報文攻擊等安全問題。（二）任務(wù)描述（1）拓撲圖（2）操作流程交換機配置VLAN；S2配置DHCP服務(wù)，為VLAN10用戶分配地址參數(shù)；S1基于VLAN10，配置DHCPSnooping安全功能：設(shè)置G0/0/24為信任接口，只允許該接口接收DHCP服務(wù)器響應(yīng)報文；開啟幀頭源MAC和CHADDR字段檢測功能，并限制用戶接入數(shù)，預(yù)防IP地址惡意申請；開啟綁定表檢測功能，預(yù)防DHCP偽造報文；開啟DHCP報文上送至DHCP報文處理單元的速率檢測功能，預(yù)防泛洪攻擊。（三）實施規(guī)劃6.任務(wù)實施：交換機DHCPSnooping配置（四）操作步驟S2配置DHCP服務(wù)交換機配置VLAN[S1]vlan10[S1-vlan10]intg0/0/1[S1-GigabitEthernet0/0/1]portlink-typeaccess[S1-GigabitEthernet0/0/1]portdefaultvlan10[S1-GigabitEthernet0/0/1]intg0/0/2[S1-GigabitEthernet0/0/2]portlink-typeaccess[S1-GigabitEthernet0/0/2]portdefaultvlan10[S1-GigabitEthernet0/0/2]intg0/0/24[S1-GigabitEthernet0/0/24]portlink-typetrunk[S1-GigabitEthernet0/0/24]porttrunkallow-passvlan10[S1-GigabitEthernet0/0/24]quitS1配置：S1配置DHCP安全功能6.任務(wù)實施：交換機DHCPSnooping配置（四）操作步驟S2配置DHCP服務(wù)交換機配置VLAN[S2]vlan10[S2-vlan10]intvlanif10[S2-Vlanif10]ipadd10.1.10.25424[S2-Vlanif10]intg0/0/24[S2-GigabitEthernet0/0/24]portlink-typetrunk[S2-GigabitEthernet0/0/24]porttrunkallow-passvlan10[S2-GigabitEthernet0/0/24]quitS2配置：S1配置DHCP安全功能6.任務(wù)實施：交換機DHCPSnooping配置（四）操作步驟S2配置DHCP服務(wù)交換機配置VLAN[S2]dhcpenable[S2]ippoolvlan10_pool[S2-ip-pool-vlan10_pool]network10.1.10.0mask24[S2-ip-pool-vlan10_pool]gateway-list10.1.10.254[S2-ip-pool-vlan10_pool]dns-list8.8.8.8[S2-ip-pool-vlan10_pool]intvlanif10[S2-Vlanif10]dhcpselectglobalS2配置：S1配置DHCP安全功能6.任務(wù)實施：交換機DHCPSnooping配置（四）操作步驟S2配置DHCP服務(wù)交換機配置VLAN[S1]dhcpenable[S1]dhcpsnoopingenable//全局開啟DHCPSnooping功能[S1]intg0/0/24[S1-GigabitEthernet0/0/24]dhcpsnoopingtrusted//設(shè)置為信任接口[S1-GigabitEthernet0/0/24]vlan10[S1-vlan10]dhcpsnoopingenable//VLAN10開啟DHCPSnooping功能[S1-vlan10]dhcpsnoopingmax-user-number20//限制連接用戶為20[S1-vlan10]dhcpsnoopingcheckdhcp-chaddrenable

//開啟檢測DHCPRequest報文幀頭源MAC地址與CHADDR字段功能[S1-vlan10]dhcpsnoopingcheckdhcp-requestenable

//開啟對DHCP報文進行綁定表匹配檢查的功能[S1-vlan10]dhcpsnoopingcheckdhcp-rateenable//開啟對DHCP報文上送DHCP報文處理單元的速率進行檢測功能[S1-vlan10]dhcpsnoopingcheckdhcp-rate50//速率最大值為50S1配置：S1配置DHCP安全功能6.任務(wù)實施：交換機DHCPSnooping配置（五）實驗測試查看DHCP綁定表信息[S1]disdhcpsnoopinguser-bindvlan10DHCPDynamicBind-table:Flags:O-outervlan,I-innervlan,P-mapvlanIPAddressMACAddressVSI/VLAN(O/I/P)InterfaceLease-------------------------------------------------------