2022年2022年华为交换机DHCPsnooping配置教程 .pdf

《2022年2022年华为交换机DHCPsnooping配置教程 .pdf》由会员分享，可在线阅读，更多相关《2022年2022年华为交换机DHCPsnooping配置教程 .pdf（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、华为交换机 DHCP snooping配置教程DHCP Snooping是一种 DHCP 安全特性，在配置DHCP Snooping各安全功能之前需首先使能DHCP Snooping功能。使能 DHCP Snooping功能的顺序是先使能全局下的DHCP Snooping功能，再使能接口或 VLAN 下的 DHCP Snooping功能。图 1 配置 DHCP Snooping基本功能组网图如上图 1 所示，Switch_1 是二层接入设备， 将用户 PC 的 DHCP 请求转发给DHCP 服务器。以 Switch_1 为例，在使能 DHCP Snooping功能时需要注意：使能 DHCP S

2、nooping功能之前，必须已使用命令 dhcp enable使能了设备的 DHCP 功能。全局使能 DHCP Snooping功能后，还需要在连接用户的接口（如图中的接口 if1 、 if2 和 if3 ）或其所属 VLAN（如图中的 VLAN 10 ）使能 DHCP Snooping功能。当存在多个用户 PC 属于同一个 VLAN 时，为了简化配置， 可以在这个 VLAN使能 DHCP Snooping功能。请在二层网络中的接入设备或第一个DHCP Relay 上执行以下步骤。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - -

3、名师精心整理 - - - - - - - 第 1 页，共 14 页 - - - - - - - - - 1、使能 DHCP Snooping功能Huaweidhcp snooping enable ? ipv4 DHCPv4 Snooping ipv6 DHCPv6 Snooping vlan Virtual LAN 或Huaweidhcp snooping over-vpls enable # 使能设备在 VPLS 网络中的DHCP Snooping功能或Huawei-vlan2dhcp snooping enable Huawei-GigabitEthernet0/0/3dhcp snoo

4、ping enable 2、配置接口信任状态Huawei-GigabitEthernet0/0/2dhcp snooping trusted 或Huawei-vlan3dhcp snooping trusted interface GigabitEthernet 0/0/6 3、去使能 DHCP Snooping用户位置迁移功能在移动应用场景中，若某一用户由接口A 上线后，切换到接口B 重新上线，用户将发送 DHCP Discover报文申请 IP 地址。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - -

5、- - - - 第 2 页，共 14 页 - - - - - - - - - 缺省情况下设备使能DHCP Snooping功能之后将允许该用户上线，并刷新DHCP Snooping绑定表。但是在某些场景中， 这样的处理方式存在安全风险，比如网络中存在攻击者仿冒合法用户发送 DHCP Discover报文，最终导致 DHCP Snooping绑定表被刷新，合法用户网络访问中断。此时需要去使能 DHCP Snooping用户位置迁移功能，丢弃 DHCP Snooping绑定表中已存在的用户 （用户 MAC 信息存在于 DHCP Snooping绑定表中）从其他接口发送来的DHCP Discover

6、报文。Huaweiundo dhcp snooping user-transfer enable 4、配置 ARP 与 DHCP Snooping的联动功能DHCP Snooping设备在收到 DHCP 用户发出的 DHCP Release 报文时将会删除该用户对应的绑定表项，但若用户发生了异常下线而无法发出DHCP Release 报文时， DHCP Snooping设备将不能够及时的删除该DHCP 用户对应的绑定表。使能 ARP 与 DHCP Snooping的联动功能，如果DHCP Snooping表项中的 IP 地址对应的 ARP 表项达到老化时间，则DHCP Snooping设备会对

7、该 IP地址进行 ARP 探测，如果在规定的探测次数内探测不到用户，设备将删除用户对应的 ARP 表项。之后，设备将会再次按规定的探测次数对该IP 地址进行 ARP探测，如果最后仍不能够探测到用户，则设备将会删除该用户对应的绑定表项。只有设备作为 DHCP Relay时，才支持 ARP 与 DHCP Snooping的联动功能。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 14 页 - - - - - - - - - Huaweiarp dhcp-snooping-de

8、tect enable 5、配置用户下线后及时清除对应MAC 表项功能当某一 DHCP 用户下线时，设备上其对应的动态MAC 表项还未达到老化时间，则设备在接收到来自网络侧以该用户IP 地址为目的地址的报文时，将继续根据动态 MAC 表项转发此报文。这种无效的报文处理在一定程度上将会降低设备的性能。设备在接收到 DHCP 用户下线时发送 DHCP Release 报文后，将会立刻删除用户对应的 DHCP Snooping绑定表项。利用这种特性，使能当DHCP Snooping动态表项清除时移除对应用户的MAC 表项功能，则当用户下线时，设备将会及时的移除用户的MAC 表项。Huaweidhcp

9、 snooping user-offline remove mac-address 6、配置丢弃 GIADDR字段非零的 DHCP 报文DHCP 报文中的 GIADDR （Gateway Ip Address）字段记录了 DHCP 报文经过的第一个 DHCP Relay 的 IP 地址，当客户端发出DHCP 请求时，如果服务器和客户端不在同一个网段，那么第一个DHCP Relay 在将 DHCP 请求报文转发给 DHCP 服务器时，会把自己的IP 地址填入此字段， DHCP 服务器会根据此字段来判断出客户端所在的网段地址，从而选择合适的地址池， 为客户端分配该网段的 IP 地址。名师资料总结

10、- - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 14 页 - - - - - - - - - 图 1 多 DHCP 中继场景下 DHCP 报文处理流程（以 DHCP Request报文为例）如上图 1 所示，在为了保证设备在生成DHCP Snooping绑定表时能够获取到用户 MAC 等参数，DHCP Snooping功能需应用于二层网络中的接入设备或第一个 DHCP Relay 上（如图中的 DHCP Relay1设备）。故 DHCP Snooping设备接收到的 DHCP 报文中

11、GIADDR 字段必然为零，若不为零则该报文为非法报文， 设备需丢弃此类报文。 在 DHCP 中继使能 DHCP Snooping场景中，建议配置该功能。通常情况下， PC 发出的 DHCP 报文中 GIADDR 字段为零。在某些情况下，PC 发出的 DHCP 报文中 GIADDR 字段不为零，可能导致DHCP 服务器分配错误的 IP 地址。 为了防止 PC 用户伪造 GIADDR 字段不为零的 DHCP 报文申请 IP地址，建议配置该功能。Huaweidhcp snooping check dhcp-giaddr enable vlan ?INTEGER Virtual LAN ID或Hua

12、wei-vlan5dhcp snooping check dhcp-giaddr enable或Huawei-GigabitEthernet0/0/2dhcp snooping check dhcp-giaddr enable名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 14 页 - - - - - - - - - 7、使能 DHCP Server探测功能在使能 DHCP Snooping功能并配置了接口的信任状态之后，设备将能够保证客户端从合法的服务器获取IP 地址，

13、这将能够有效的防止DHCP Server 仿冒者攻击。但是此时却不能够定位DHCP Server 仿冒者的位置， 使得网络中仍然存在着安全隐患。通过配置 DHCP Server 探测功能， DHCP Snooping设备将会检查并在日志中记录所有 DHCP 回应报文中携带的DHCP Server 地址与接口等信息， 此后网络管理员可根据日志来判定网络中是否存在伪DHCP Server 进而对网络进行维护。Huaweidhcp server detect8、防止 DHCP 报文泛洪攻击在 DHCP 网络环境中，若存在 DHCP 用户短时间内向设备发送大量的DHCP报文，将会对设备的性能造成巨大的

14、冲击以致可能会导致设备无法正常工作。通过使能对 DHCP 报文上送 DHCP 报文处理单元的速率进行检测功能将能够有效防止 DHCP 报文泛洪攻击。8.1、使能对 DHCP 报文上送 DHCP 报文处理单元的速率进行检测功能Huawei-vlan3dhcp snooping check dhcp-rate enable # 接口视图下命令一样或名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 14 页 - - - - - - - - - Huaweidhcp snoopin

15、g check dhcp-rate enable ?INTEGER Rate value (Unit:pps)alarm Alarmvlan Virtual LAN 8.2、DHCP 报文上送 DHCP 报文处理单元的最大允许速率Huawei-vlan3dhcp snooping check dhcp-rate ?INTEGER Rate value (Unit:pps)enable EnableHuawei-vlan3dhcp snooping check dhcp-rate 808.3、使能当丢弃的DHCP 报文数达到告警阈值时的告警功能Huawei-GigabitEthernet0/0/

16、2dhcp snooping alarm dhcp-rate enable8.4、配置接口下被丢弃的DHCP 报文的告警阈值Huawei-GigabitEthernet0/0/2dhcp snooping alarm dhcp-rate threshold ?INTEGER Threshold value (Unit:packets)9、防止仿冒 DHCP 报文攻击名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 14 页 - - - - - - - - - 在 DHCP

17、网络环境中，若攻击者仿冒合法用户的DHCP Request报文发往DHCP Server ，将会导致用户的IP 地址租约到期之后不能够及时释放，以致合法用户无法使用该IP 地址；若攻击者仿冒合法用户的DHCP Release 报文发往DHCP Server ，将会导致用户异常下线。在生成 DHCP Snooping绑定表后， 设备可根据绑定表项， 对 DHCP Request报文或 DHCP Release 报文进行匹配检查，只有匹配成功的报文设备才将其转发，否则将丢弃。这将能有效的防止非法用户通过发送伪造DHCP Request或 DHCP Release报文冒充合法用户续租或释放IP 地址

18、。9.1、使能对从指定VLAN 内上送的 DHCP 报文进行绑定表匹配检查的功能Huaweidhcp snooping check dhcp-request enable vlan ?INTEGER Virtual LAN ID或Huawei-GigabitEthernet0/0/2dhcp snooping check dhcp-request enable9.2、使能与绑定表不匹配而被丢弃的DHCP 报文数达到阈值时的DHCP Snooping告警功能Huawei-GigabitEthernet0/0/2dhcp snooping alarm dhcp-request enable9.3、

19、DHCP Snooping丢弃报文数量的告警阈值。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 14 页 - - - - - - - - - Huaweidhcp snooping alarm threshold ?INTEGER Threshold value (Unit:packets)9.4、与绑定表不匹配而被丢弃的DHCP 报文的告警阈值Huawei-GigabitEthernet0/0/2dhcp snooping alarm dhcp-request thr

20、eshold ?INTEGER Threshold value (Unit:packets)10 、防止 DHCP Server服务拒绝攻击若在网络中存在 DHCP 用户恶意申请 IP 地址，将会导致 IP 地址池中的 IP 地址快速耗尽以致 DHCP Server 无法为其他合法用户分配IP 地址。另一方面， DHCP Server 通常仅根据 CHADDR （client hardware address，客户端硬件地址）字段来确认客户端的MAC 地址。如果攻击者通过不断改变DHCP Request报文中的 CHADDR 字段向 DHCP Server 申请 IP 地址，将会导致 DHCP

21、 Server 上的地址池被耗尽，从而无法为其他正常用户提供IP 地址。为了防止某些端口的DHCP 用户恶意申请 IP 地址，可配置接口允许学习的DHCP Snooping绑定表项的最大个数来控制上线用户的个数，当用户数达到该值时，则任何用户将无法通过此接口成功申请到IP 地址。为了防止攻击者不断改变DHCP Request报文中的 CHADDR 字段进行攻击，可使能检测 DHCP Request报文帧头 MAC 地址与 DHCP 数据区中 CHADDR字段是否相同的功能，相同则转发报文，否则丢弃。10.1 、设备允许学习的DHCP Snooping绑定表项的最大个数名师资料总结 - - -精

22、品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 14 页 - - - - - - - - - Huaweidhcp snooping max-user-number ?INTEGER Max user number valueHuaweidhcp snooping max-user-number 20 ?vlan Virtual LAN Huaweidhcp snooping max-user-number 20 vlan ?INTEGER Virtual LAN ID或Huawei-Gigabi

23、tEthernet0/0/2dhcp snooping max-user-number ?INTEGER Max user number value10.2 、DHCP Snooping绑定表的告警阈值百分比Huaweidhcp snooping user-alarm percentage percent-lower-valuepercent-upper-value10.3 、接口允许学习的DHCP Snooping绑定表项的最大个数。Huawei-GigabitEthernet0/0/2dhcp snooping max-user-number ?INTEGER Max user numbe

24、r value或Huawei-vlan2dhcp snooping max-user-number ?名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 14 页 - - - - - - - - - INTEGER Max user number value10.4 、使能检测 DHCP Request报文帧头 MAC 与 DHCP 数据区中 CHADDR字段是否一致功能Huaweidhcp snooping check dhcp-chaddr enable vlan ?I

25、NTEGER Virtual LAN ID或Huawei-GigabitEthernet0/0/2dhcp snooping check dhcp-chaddr enable ?alarm Alarm 或Huawei-vlan2dhcp snooping check dhcp-chaddr enable10.5 、帧头 MAC 地址与 DHCP 数据区中 CHADDR 字段不匹配而被丢弃的DHCP 报文的告警阈值Huawei-GigabitEthernet0/0/2dhcp snooping alarm dhcp-chaddr threshold ?INTEGER Threshold valu

26、e (Unit:packets)11 、在 DHCP 报文中添加 Option82字段名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 14 页 - - - - - - - - - 为使 DHCP Server 能够获取到 DHCP 用户的精确物理位置信息， 可在 DHCP报文中添加 Option82字段。Option82选项记录了 DHCP Client的位置信息。设备通过在 DHCP 请求报文中添加Option82选项，可将 DHCP Client的位置信息发送给 D

27、HCP Server ， 从而使得 DHCP Server 能够根据 Option82选项的内容为 DHCP Client分配合适的 IP 地址和其他配置信息，并可以实现对客户端的安全控制。DHCP Option82必须配置在设备的用户侧，否则设备向DHCP Server 发出的 DHCP 报文不会携带 Option82选项内容。11.1 、在 DHCP 报文中添加 Option82选项功能Huawei-vlan6dhcp option82 ?insert Insert option82 into DHCP packets # 插入rebuild Rebuild option82 in the

28、 DHCP packets # 重建Huawei-vlan6dhcp option82 insert ?enable Enable或Huawei-GigabitEthernet0/0/2dhcp option82 ?circuit-id DHCP option82 sub-option Circuit IDformat The format of DHCP option82insert Insert option82 into DHCP packetsrebuild Rebuild option82 in the DHCP packets名师资料总结 - - -精品资料欢迎下载 - - - -

29、 - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 14 页 - - - - - - - - - remote-id DHCP option82 sub-option Remote IDvlan Virtual LANHuawei-GigabitEthernet0/0/2dhcp option82 rebuild ?enable Enable11.2 、配置 Option82选项的格式Huawei-GigabitEthernet0/0/2dhcp option82 vlan 3 circuit-id format ?common

30、 Common format. Circuit-ID:%iftype%slot/%subslot/%port:%svlan.%cvlan %sysname/0/0/0/0/0.Remote-ID: %macdefault Default format. The same with global dhcp option82 formatconfiguration.extend Extend format. Circuit-ID: 0 %length %svlan %5slot %3subslot%8port. Remote-ID: 0 %length %mac #user-defined The

31、 format of DHCP option82 defined by user # 用户自定义格式或Huaweidhcp option82 remote-id format ?common Common format. Circuit-ID:%iftype名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 14 页 - - - - - - - - - %slot/%subslot/%port:%svlan.%cvlan %sysname/0/0/0/0/0.Remote-

32、ID: %macdefault Default format. Circuit-ID:%portname:%svlan.%cvlan%sysname/0/0/0/0/0. Remote-ID: %macextend Extend format. Circuit-ID: 0 %length %svlan %5slot %3subslot%8port. Remote-ID: 0 %length %macuser-defined The format of DHCP option82 defined by user系统视图下或同一个接口视图下配置的所有Option82选项共用 1255 个字节长度，因此，所有Option82选项长度之和不能超过255 个字节，否则会导致部分 Option82选项信息丢失。设备不限制配置多少个Option82选项，但是大量配置会占用很多内存，并延长设备处理时间。 为保证设备性能， 建议用户根据自身需要和设备内存大小来配置 Option82选项。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 14 页 - - - - - - - - -