華為交換機DHCPsnooping配置教程

1、.華為交換機 DHCP snooping配置教程DHCP Snooping是一種 DHCP 安全特性，在配置DHCP Snooping各安全功能之前需首先使能DHCP Snooping功能。使能 DHCP Snooping功能的順序是先使能全局下的DHCP Snooping功能，再使能接口或 VLAN 下的 DHCP Snooping功能。圖 1 配置 DHCP Snooping基本功能組網(wǎng)圖如上圖 1 所示，Switch_1 是二層接入設(shè)備， 將用戶 PC 的 DHCP 請求轉(zhuǎn)發(fā)給DHCP 服務(wù)器。以 Switch_1 為例，在使能 DHCP Snooping功能時需要注意：使能 DHCP

2、Snooping功能之前，必須已使用命令dhcp enable使能了設(shè)備的 DHCP 功能。全局使能 DHCP Snooping功能后，還需要在連接用戶的接口（如圖中的接口 if1 、if2 和 if3 ）或其所屬 VLAN（如圖中的 VLAN 10 ）使能 DHCP Snooping功能。當存在多個用戶 PC 屬于同一個 VLAN 時，為了簡化配置，可以在這個 VLAN使能 DHCP Snooping功能。請在二層網(wǎng)絡(luò)中的接入設(shè)備或第一個DHCP Relay 上執(zhí)行以下步驟。.c.1 、使能 DHCP Snooping功能Huaweidhcp snooping enable ?ipv4DHC

3、Pv4 Snoopingipv6DHCPv6 SnoopingvlanVirtual LAN<cr>或Huaweidhcp snooping over-vpls enable# 使能設(shè)備在 VPLS 網(wǎng)絡(luò)中的DHCP Snooping功能或Huawei-vlan2dhcp snooping enableHuawei-GigabitEthernet0/0/3dhcp snooping enable2 、配置接口信任狀態(tài)Huawei-GigabitEthernet0/0/2dhcp snooping trusted或Huawei-vlan3dhcpsnoopingtrusted int

4、erface GigabitEthernet 0/0/63 、去使能 DHCP Snooping用戶位置遷移功能在移動應(yīng)用場景中，若某一用戶由接口A 上線后，切換到接口B 重新上線，用戶將發(fā)送 DHCP Discover報文申請 IP 地址。.c.缺省情況下設(shè)備使能DHCP Snooping功能之后將允許該用戶上線，并刷新DHCP Snooping綁定表。但是在某些場景中， 這樣的處理方式存在安全風險，比如網(wǎng)絡(luò)中存在攻擊者仿冒合法用戶發(fā)送DHCP Discover報文，最終導致 DHCP Snooping綁定表被刷新，合法用戶網(wǎng)絡(luò)訪問中斷。此時需要去使能 DHCP Snooping用戶位置遷移

5、功能，丟棄 DHCP Snooping綁定表中已存在的用戶 （用戶 MAC 信息存在于 DHCP Snooping綁定表中）從其他接口發(fā)送來的DHCP Discover報文。Huaweiundo dhcp snooping user-transfer enable4 、配置 ARP 與 DHCP Snooping的聯(lián)動功能DHCP Snooping設(shè)備在收到 DHCP 用戶發(fā)出的 DHCP Release 報文時將會刪除該用戶對應(yīng)的綁定表項，但若用戶發(fā)生了異常下線而無法發(fā)出DHCPRelease 報文時， DHCP Snooping設(shè)備將不能夠及時的刪除該DHCP 用戶對應(yīng)的綁定表。使能 AR

6、P 與 DHCP Snooping的聯(lián)動功能，如果DHCP Snooping表項中的 IP 地址對應(yīng)的 ARP 表項達到老化時間，則DHCP Snooping設(shè)備會對該 IP地址進行 ARP 探測，如果在規(guī)定的探測次數(shù)探測不到用戶，設(shè)備將刪除用戶對應(yīng)的 ARP 表項。之后，設(shè)備將會再次按規(guī)定的探測次數(shù)對該IP 地址進行 ARP探測，如果最后仍不能夠探測到用戶，則設(shè)備將會刪除該用戶對應(yīng)的綁定表項。只有設(shè)備作為 DHCP Relay時，才支持 ARP 與 DHCP Snooping的聯(lián)動功能。.c.Huaweiarp dhcp-snooping-detect enable5 、配置用戶下線后及時清

7、除對應(yīng)MAC 表項功能當某一 DHCP 用戶下線時，設(shè)備上其對應(yīng)的動態(tài)MAC 表項還未達到老化時間，則設(shè)備在接收到來自網(wǎng)絡(luò)側(cè)以該用戶IP 地址為目的地址的報文時，將繼續(xù)根據(jù)動態(tài) MAC 表項轉(zhuǎn)發(fā)此報文。這種無效的報文處理在一定程度上將會降低設(shè)備的性能。設(shè)備在接收到 DHCP 用戶下線時發(fā)送DHCP Release 報文后，將會立刻刪除用戶對應(yīng)的 DHCP Snooping綁定表項。利用這種特性，使能當DHCPSnooping動態(tài)表項清除時移除對應(yīng)用戶的MAC 表項功能，則當用戶下線時，設(shè)備將會及時的移除用戶的MAC 表項。Huaweidhcp snooping user-offline rem

8、ove mac-address6 、配置丟棄 GIADDR字段非零的 DHCP 報文DHCP 報文中的 GIADDR （Gateway Ip Address）字段記錄了DHCP 報文經(jīng)過的第一個 DHCP Relay 的 IP 地址，當客戶端發(fā)出DHCP 請求時，如果服務(wù)器和客戶端不在同一個網(wǎng)段，那么第一個DHCP Relay 在將 DHCP 請求報文轉(zhuǎn)發(fā)給 DHCP 服務(wù)器時，會把自己的IP 地址填入此字段， DHCP 服務(wù)器會根據(jù)此字段來判斷出客戶端所在的網(wǎng)段地址，從而選擇合適的地址池， 為客戶端分配該網(wǎng)段的 IP 地址。.c.圖 1 多 DHCP 中繼場景下 DHCP 報文處理流程（以

9、DHCP Request報文為例）如上圖 1 所示，在為了保證設(shè)備在生成DHCP Snooping綁定表時能夠獲取到用戶 MAC 等參數(shù)， DHCP Snooping功能需應(yīng)用于二層網(wǎng)絡(luò)中的接入設(shè)備或第一個 DHCP Relay 上（如圖中的 DHCP Relay1設(shè)備）。故 DHCP Snooping 設(shè)備接收到的 DHCP 報文中 GIADDR 字段必然為零，若不為零則該報文為非法報文， 設(shè)備需丟棄此類報文。 在 DHCP 中繼使能 DHCP Snooping 場景中，建議配置該功能。通常情況下， PC 發(fā)出的 DHCP 報文中 GIADDR 字段為零。在某些情況下，PC 發(fā)出的 DHCP

10、 報文中 GIADDR 字段不為零，可能導致DHCP 服務(wù)器分配錯誤的 IP 地址。為了防止 PC 用戶偽造 GIADDR 字段不為零的 DHCP 報文申請 IP地址，建議配置該功能。Huaweidhcp snooping check dhcp-giaddr enable vlan ?INTEGER<1-4094>Virtual LAN ID或Huawei-vlan5dhcp snooping check dhcp-giaddr enable或Huawei-GigabitEthernet0/0/2dhcp snoopingcheck dhcp-giaddrenable.c.7 、使

11、能 DHCP Server探測功能在使能 DHCP Snooping功能并配置了接口的信任狀態(tài)之后，設(shè)備將能夠保證客戶端從合法的服務(wù)器獲取IP 地址，這將能夠有效的防止DHCP Server 仿冒者攻擊。但是此時卻不能夠定位DHCP Server仿冒者的位置， 使得網(wǎng)絡(luò)中仍然存在著安全隱患。通過配置 DHCP Server探測功能， DHCP Snooping設(shè)備將會檢查并在日志中記錄所有 DHCP 回應(yīng)報文中攜帶的DHCP Server 地址與接口等信息， 此后網(wǎng)絡(luò)管理員可根據(jù)日志來判定網(wǎng)絡(luò)中是否存在偽DHCP Server進而對網(wǎng)絡(luò)進行維護。Huaweidhcp server detect

12、8 、防止 DHCP 報文泛洪攻擊在 DHCP 網(wǎng)絡(luò)環(huán)境中，若存在DHCP 用戶短時間向設(shè)備發(fā)送大量的DHCP報文，將會對設(shè)備的性能造成巨大的沖擊以致可能會導致設(shè)備無常工作。通過使能對 DHCP 報文上送 DHCP 報文處理單元的速率進行檢測功能將能夠有效防止DHCP 報文泛洪攻擊。8.1 、使能對 DHCP 報文上送 DHCP 報文處理單元的速率進行檢測功能Huawei-vlan3dhcp snooping check dhcp-rate enable# 接口視圖下命令一樣或.c.Huaweidhcp snoopingcheck dhcp-rate enable ?INTEGER<1-

13、100>Rate value (Unit:pps)alarmAlarmvlanVirtual LAN<cr>8.2 、DHCP 報文上送 DHCP 報文處理單元的最大允許速率Huawei-vlan3dhcp snooping check dhcp-rate ?INTEGER<1-100>Rate value (Unit:pps)enableEnableHuawei-vlan3dhcp snooping check dhcp-rate 808.3 、使能當丟棄的DHCP 報文數(shù)達到告警閾值時的告警功能Huawei-GigabitEthernet0/0/2dhcp s

14、nooping alarm dhcp-rate enable8.4 、配置接口下被丟棄的DHCP 報文的告警閾值Huawei-GigabitEthernet0/0/2dhcp snoopingalarm dhcp-ratethreshold ?INTEGER<1-1000>Threshold value (Unit:packets)9 、防止仿冒 DHCP 報文攻擊.c.在 DHCP 網(wǎng)絡(luò)環(huán)境中，若攻擊者仿冒合法用戶的DHCP Request報文發(fā)往DHCP Server ，將會導致用戶的IP 地址租約到期之后不能夠及時釋放，以致合法用戶無法使用該IP 地址；若攻擊者仿冒合法用戶的

15、DHCP Release 報文發(fā)往DHCP Server ，將會導致用戶異常下線。在生成 DHCP Snooping綁定表后，設(shè)備可根據(jù)綁定表項，對 DHCP Request報文或 DHCP Release 報文進行匹配檢查，只有匹配成功的報文設(shè)備才將其轉(zhuǎn)發(fā)，否則將丟棄。這將能有效的防止非法用戶通過發(fā)送偽造DHCP Request或 DHCP Release報文冒充合法用戶續(xù)租或釋放IP 地址。9.1 、使能對從指定VLAN 上送的 DHCP 報文進行綁定表匹配檢查的功能Huaweidhcp snooping checkdhcp-request enable vlan ?INTEGER<

16、1-4094>Virtual LAN ID或Huawei-GigabitEthernet0/0/2dhcp snooping check dhcp-requestenable9.2 、使能與綁定表不匹配而被丟棄的DHCP 報文數(shù)達到閾值時的DHCPSnooping告警功能Huawei-GigabitEthernet0/0/2dhcp snooping alarm dhcp-requestenable9.3 、DHCP Snooping丟棄報文數(shù)量的告警閾值。.c.Huaweidhcp snoopingalarm threshold ?INTEGER<1-1000>Thresh

17、old value (Unit:packets)9.4 、與綁定表不匹配而被丟棄的DHCP 報文的告警閾值Huawei-GigabitEthernet0/0/2dhcp snooping alarmdhcp-requestthreshold ?INTEGER<1-1000>Threshold value (Unit:packets)10 、防止 DHCP Server服務(wù)拒絕攻擊若在網(wǎng)絡(luò)中存在DHCP 用戶惡意申請 IP 地址，將會導致 IP 地址池中的 IP 地址快速耗盡以致DHCP Server無法為其他合法用戶分配IP 地址。另一方面， DHCP Server 通常僅根據(jù) C

18、HADDR （client hardware address，客戶端硬件地址）字段來確認客戶端的MAC 地址。如果攻擊者通過不斷改變DHCP Request報文中的 CHADDR 字段向 DHCP Server 申請 IP 地址，將會導致 DHCP Server上的地址池被耗盡，從而無法為其他正常用戶提供IP 地址。為了防止某些端口的DHCP 用戶惡意申請 IP 地址，可配置接口允許學習的DHCP Snooping綁定表項的最大個數(shù)來控制上線用戶的個數(shù)，當用戶數(shù)達到該值時，則任何用戶將無法通過此接口成功申請到IP 地址。為了防止攻擊者不斷改變DHCP Request報文中的 CHADDR 字段

19、進行攻擊，可使能檢測 DHCP Request報文幀頭 MAC 地址與 DHCP 數(shù)據(jù)區(qū)中 CHADDR字段是否相同的功能，相同則轉(zhuǎn)發(fā)報文，否則丟棄。10.1 、設(shè)備允許學習的DHCP Snooping綁定表項的最大個數(shù).c.Huaweidhcp snooping max-user-number ?INTEGER<1-1024>Max user number valueHuaweidhcp snooping max-user-number 20 ?vlanVirtual LAN<cr>Huaweidhcp snooping max-user-number 20 vlan

20、 ?INTEGER<1-4094>Virtual LAN ID或Huawei-GigabitEthernet0/0/2dhcp snooping max-user-number ?INTEGER<1-1024>Max user number value10.2 、DHCP Snooping綁定表的告警閾值百分比Huaweidhcp snooping user-alarmpercentagepercent-lower-valuepercent-upper-value10.3 、接口允許學習的DHCP Snooping綁定表項的最大個數(shù)。Huawei-GigabitEthe

21、rnet0/0/2dhcp snooping max-user-number ?INTEGER<1-1024>Max user number value或Huawei-vlan2dhcp snooping max-user-number ?.c.INTEGER<1-1024>Max user number value10.4 、使能檢測 DHCP Request報文幀頭 MAC 與 DHCP 數(shù)據(jù)區(qū)中 CHADDR字段是否一致功能Huaweidhcp snoopingcheck dhcp-chaddr enable vlan ?INTEGER<1-4094>

22、Virtual LAN ID或Huawei-GigabitEthernet0/0/2dhcp snooping check dhcp-chaddrenable ?alarmAlarm<cr>或Huawei-vlan2dhcpsnoopingcheck dhcp-chaddr enable10.5 、幀頭 MAC 地址與 DHCP 數(shù)據(jù)區(qū)中 CHADDR 字段不匹配而被丟棄的DHCP 報文的告警閾值Huawei-GigabitEthernet0/0/2dhcp snooping alarmdhcp-chaddrthreshold ?INTEGER<1-1000>Thres

23、hold value (Unit:packets)11 、在 DHCP 報文中添加 Option82字段.c.為使 DHCP Server 能夠獲取到 DHCP 用戶的精確物理位置信息， 可在 DHCP報文中添加 Option82字段。Option82選項記錄了 DHCP Client的位置信息。設(shè)備通過在 DHCP 請求報文中添加Option82選項，可將 DHCP Client的位置信息發(fā)送給DHCP Server ，從而使得 DHCP Server 能夠根據(jù) Option82選項的容為 DHCP Client分配合適的 IP 地址和其他配置信息，并可以實現(xiàn)對客戶端的安全控制。DHCP O

24、ption82必須配置在設(shè)備的用戶側(cè)，否則設(shè)備向DHCP Server發(fā)出的 DHCP 報文不會攜帶 Option82選項容。11.1 、在 DHCP 報文中添加 Option82選項功能Huawei-vlan6dhcpoption82 ?insertInsert option82 into DHCP packets#插入rebuildRebuild option82 in the DHCP packets# 重建Huawei-vlan6dhcpoption82 insert ?enableEnable或Huawei-GigabitEthernet0/0/2dhcp option82 ?cir

25、cuit-idDHCP option82 sub-option Circuit IDformatThe format of DHCP option82insertInsert option82 into DHCP packetsrebuildRebuild option82 in the DHCP packets.c.remote-idDHCP option82 sub-option RemoteIDvlanVirtual LANHuawei-GigabitEthernet0/0/2dhcp option82 rebuild ?enableEnable11.2 、配置 Option82選項的格式Huawei-GigabitEthernet0/0/2dhcp option82 vlan 3 circuit-id format ?commonCommon format.Circuit-ID:"%iftype%slot/%subslot/%port:%svlan.%cvlan %sysname/0/0/0/0/0".Remote-ID: "%mac"defaultDe