电话
0571-87993259
DHCP Snooping 技术是 DHCP 安全特性,通过建立和维护 DHCP Snooping 绑定表过滤不信任的 DHCP 信息,这些信息是来自不信任区域的 DHCP 信息。DHCP Snooping 绑定表包含不信任区域的用户 MAC 地址、IP 地址、租约期、VLAN-ID 接口等信息。
● dhcp snooping 的主要作用就是隔绝非法的 dhcp server,通过配置信任端口对合法的 dhcp server 发送的报文进行正常接收并转发 dhcp offer 报文,对于非信任端口接收到的 dhcp offer 报文直接丢弃。
●与交换机 DAI 的配合,防止 ARP 病毒的传播。
●建立和维护一张 dhcp-snooping 的绑定表,这张表一是通过 dhcp ack 包中的 ip 和
mac 地址生成的,二是可以手工指定。这张表是后续 DAI(dynamic arp inspect)和 IPSource Guard 基础。这两种类似的技术,是通过这张表来判定 ip 或者 mac 地址是否合法,来限制用户连接到网络的。
●通过建立信任端口和非信任端口,对非法 DHCP 服务器进行隔离,信任端口正常转发
DHCO 数据包,非信任端口收到的服务器响应的 DHCP offer 和 DHCPACK 后,做丢包处理, 不进行转发。
DHCP 监听将交换机端口划分为两类:
●非信任端口:通常为连接终端设备的端口,如 PC,网络打印机等
●信任端口:连接合法 DHCP 服务器的端口或者连接汇聚交换机的上行端口
通过开启 DHCP 监听特性,交换机限制用户端口(非信任端口)只能够发送 DHCP 请求, 丢弃来自用户端口的所有其它 DHCP 报文,例如 DHCP Offer 报文等。而且,并非所有来自用户端口的 DHCP 请求都被允许通过,交换机还会比较 DHCP 请求报文的(报文头里的)源
MAC 地址和(报文内容里的)DHCP 客户机的硬件地址(即 CHADDR 字段),只有这两者相同的请求报文才会被转发,否则将被丢弃。这样就防止了 DHCP 耗竭攻击。
信任端口可以接收所有的 DHCP 报文。通过只将交换机连接到合法 DHCP 服务器的端口设置为信任端口,其他端口设置为非信任端口,就可以防止用户伪造 DHCP 服务器来攻击网络。DHCP 监听特性还可以对端口的 DHCP 报文进行限速。通过在每个非信任端口下进行限速,将可以阻止合法 DHCP 请求报文的广播攻击。
DHCP 监听还有一个非常重要的作用就是建立一张 DHCP 监听绑定表(DHCP Snooping Binding)。一旦一个连接在非信任端口的客户端获得一个合法的 DHCP Offer,交换机就会自动在 DHCP 监听绑定表里添加一个绑定条目,内容包括了该非信任端口的客户端 IP 地址、MAC 地址、端口号、VLAN 编号、租期等信息。
当 DHCP 服务器和客户端不在同一个子网内时,客户端要想从 DHCP 服务器上分配到 IP 地址,就必须由 DHCP 中继代理(DHCP Relay Agent)来转发 DHCP 请求包。DHCP 中继代理将客户端的 DHCP 报文转发到 DHCP 服务器之前,可以插入一些选项信息,以便 DHCP 服务器能更精确的得知客户端的信息,从而能更灵活的按相应的策略分配 IP 地址和其他参数。这个选项被称为:DHCP relay agent information option(中继代理信息选项),选项号为82,故又称为 option 82,相关标准文档为 RFC3046。
Option 82 是对 DHCP 选项的扩展应用。选项 82 只是一种应用扩展,是否携带选项 82 并不会影响 DHCP 原有的应用。另外还要看 DHCP 服务器是否支持选项 82。不支持选项 82 的 DHCP 服务器接收到插入了选项 82 的报文,或者支持选项 82 的 DHCP 服务器接收到了没有插入选项 82 的报文,这两种情况都不会对原有的基本的 DHCP 服务造成影响。要想支持选项 82 带来的扩展应用,则 DHCP 服务器本身必须支持选项 82 以及收到的 DHCP 报文必须被插入选项 82 信息。
1.在导航栏中选择[管理设置/DHCP snooping/全局设置],进入 DHCP snooping[全局设置]界面。
2.在 DHCP snooping[全局设置]界面中可以查看 DHCP snooping 的全局配置信息。
3.如需修改 DHCP snooping 的全局配置,可在 DHCP snooping 全局配置框中修改相应配置,然后单击<应用>。
| 配置项 | 说明 |
| 管理状态 | DHCP snooping全局使能开关: 开启:使能DHCP snooping功能; 关闭:关闭DHCP snooping功能。 注:默认为关闭。 |
1.在导航栏中选择[管理设置/DHCP snooping/端口设置],进入 DHCP snooping[端口设置]界面。
2.在 DHCP snooping[端口设置]界面中可以查看 DHCP snooping 的端口配置。
3.如需修改某个端口的 DHCP snooping 配置,单击对应端口显示栏后的<修改>按钮,进入端口配置界面。
4.选择或填写需要修改的配置项,单击<应用>生效,如配置项填写有误,会有相应的提示。
| 配置项 | 说明 |
| 端口 | 端口名称信息。 |
| 信任 | 端口的信任: 是:设置端口为信任端口; 否:设置端口为非信任端口。 注:端口默认为否。 |
| 代理电路ID | 设置端口的代理电路ID,默认采用全局的代理电路ID。 |
| 代理远程ID | 设置端口的代理远程ID,默认采用全局的代理远程ID。 |
1.在导航栏中选择[管理设置/DHCP snooping/绑定表],进入 DHCP snooping[绑定表] 界面。
2.在 DHCP snooping[绑定表]界面中可以查看所有的绑定表相关信息。
3.单击<刷新>,更新查看所有的 DHCP snooping 绑定表信息。 
以上内容就是云球物联网关于交换机DHCP Snooping配置详解的相关详细介绍,希望能对大家有所帮助!
