锐捷DHCP-Snooping技术白皮书(14页).doc

《锐捷DHCP-Snooping技术白皮书(14页).doc》由会员分享，可在线阅读，更多相关《锐捷DHCP-Snooping技术白皮书(14页).doc（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、-第 1 页锐捷DHCP-Snooping技术白皮书-第 2 页锐捷 DHCP-Snooping 技术白皮书摘要本文介绍 DHCP-Snooping 和相关技术，说明了在 DCHP 应用环境下，如何利用 DHCP-Snooping 技术并结合相关技术进行安全方面的控制，包括屏蔽非法服务器、阻止用户私设 IP、防止 ARP 欺骗等目的。关键词DHCP-SnoopingIP 报文硬件过滤ARPDAIARP-Check技术白皮书修订记录日期修订版本修改章节修改描述作者2008-7-251.0目目录录摘要.2关键词.21 缩略语.32 技术应用背景.33 DHCP-Snooping 技术分析.43.1

2、 DHCP 技术简介.43.2 DHCP-Snooping 技术简介.53.3 非法 DHCP 报文拦截.53.3.1 屏蔽非法 DHCP 服务器.63.3.2 过滤非法报文.63.4 Option 82.63.5 提供安全过滤数据库.73.5.1 DHCP-Snooping 数据库.73.5.2 提供 IP 报文硬件过滤数据库.73.5.3 提供 ARP 报文过滤数据库.84 DAI 技术分析.84.1 了解 ARP.84.2 DAI 技术简介.94.3 ARP 报文限速.94.4 信任端口&非信任端口.94.5 ARP 报文检测步骤.9-第 3 页5 应用方案.105.1 应用部署.105

3、.2 应用拓扑.105.2 DHCP-Snooping+DAI.105.4 DHCP-Snooping+ARP-Check.125.5 友商对比.141 缩略语缩略语缩略语英文全名中文解释IPInternet Protocol互联网协议DHCPDynamic Host ConfigurationProtocol动态主机配置协议C/SClient/Server客户端和服务器模式DNSDomain Name System域名系统ARPAddress Resolution Protocol地址解析协议DAIDynamic ARP Inspection动态 ARP 检测MACMedia Access

4、Control介质访问控制VLANVirtual Local Area Network虚拟局域网CPUCentral Processing Unit中央处理器FTPFile Transfer Protocol文件传输协议TFTPTrivial File Transfer Protocol日常文件传送协议DoSDenial of Service拒绝服务2 技术应用背景技术应用背景DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)采用客户端和服务器的运行机制，是一种简化主机 IP 地址配置管理的 TCP/IP 标准。该标准允许 DHCP 服务器向客

5、户端提供 IP 地址和其他相关配置信息。在网络中，通过启用 DHCP 服务可以让 DHCP客户端在每次启动后自动获取 IP 地址和相关配置参数，减少了配置管理。在计算机数量众多并且划分多个子网的网络中，DHCP 服务的优势更加明显，它避免了因手工设置 IP 地址及子网掩码所产生的错误；也避免了把一个 IP 地址分配给多台主机所造成的地址冲突，可以大大缩短网络管理员在主机地址配置上所耗费的时间，降低了管理员的设置负担。-第 4 页但是，随着 DHCP 服务的广泛应用，也给网络管理带来一些新的问题，具体表现在：1.由于 DHCP 报文在客户端和服务器的交互过程中并没有认证机制，如果网络中存在非法

6、DHCP 服务器，管理员将无法保证客户端从管理员指定的 DHCP 服务器获取合法地址，客户机有可能从非法 DHCP 服务器获得 IP 地址等配置信息，导致网络地址分配混乱。2.在部署 DHCP 服务的子网中，如果出现用户私自设置 IP 地址，将有可能造成网络地址冲突，影响 IP 地址的正常分配。通过以上分析，必须采取有效措施来应对上述两个问题。我司推出的支持DHCP-Snooping 功能的设备具有屏蔽非法 DHCP 服务器、过滤非法 DHCP 报文和防止用户私设 IP 的功能，可以有效解决非法 DHCP 服务器扰乱用户网络和防止私设 IP 用户使用网络。网络管理的另外一大挑战是防止 ARP

7、欺骗。当前网络中，ARP 欺骗报文肆意横行，而ARP 协议本身无法辨别这些报文的真实性，因此网络中的主机和设备容易被欺骗，从而导致用户无法正常使用网络。ARP 欺骗造成的危害较大，目前业界都在高度关注。我司针对这一问题推出的 DHCP-Snooping+DAI（Dynamic ARP Inspection，动态 ARP 检测），DHCP-Snooping+ARP Check 解决方案可以有效拦截非法的 ARP 报文，抵御 ARP 欺骗，保证网络的畅通。3 DHCP-Snooping 技术分析技术分析3.1 DHCP 技术简介技术简介DHCP 技术，主要用于为网络上的主机动态分配可重用 IP 地

8、址，提供参数配置。DHCP采用 C/S 运行机制，由客户端和服务器通过 DHCP 报文交互，完成 IP 地址申请。服务器可以向客户端提供 IP 地址和其他主机配置参数，如子网掩码、DNS-server、default-router（默认网关）、租用时间等。在同一个子网内，一次典型的 IP 地址申请过程如下：图图 1 DHCP 报文交互过程报文交互过程1.DHCP Client 发出 DHCP DISCOVER 广播报文给 DHCP Server，若 DHCP Client在一定时间内没有收到服务器的响应，则重发 DHCP DISCOVER 报文。2.DHCP Server 收到 DHCP DI

9、SCOVER 报文后，根据一定的策略来给 DHCP Client分配 IP 地址，发出 DHCP OFFER 报文。-第 5 页3.DHCP Client 收到 DHCP OFFER 报文后，发出 DHCP REQUEST 请求，向 DHCPServer 请求获取参数配置信息。4.服务器收到 DHCP REQUEST 报文，验证资源是否可以分配，如果可以分配，则发送 DHCP ACK 报文。上面介绍了 IP 地址申请过程中 DHCP 报文的基本交互过程，在 DHCP Client 和 DHCPServer 之间的报文交互过程中还存在其他的报文，如：1.DHCP Client 发出 DHCP R

10、ELEASE 报文告知 DHCP Server 终止 IP 地址租用；2.DHCP Server 发出 DHCP NAK 报文回复 DHCP Client 地址申请失败；3.DHCP Client 发出 DHCP DECLINE 报文告知 DHCP Server 该 IP 地址为冲突地址不可使用；如果 DHCP Client 和 DHCP Server 不在同一个子网内，申请地址需要 DHCP 中继（DHCP Relay）的支持。DHCP 中继代理在 DHCP Client 和 DHCP Server 之间转发 DHCP数据包。3.2 DHCP-Snooping 技术简介技术简介DHCP-Sn

11、ooping 具有屏蔽非法 DHCP 服务器和过滤非法 DHCP 报文的功能，解决了DHCP Client 和 DHCP Server 之间 DHCP 报文交互的安全问题。DHCP-Snooping 简称DHCP 窥探，如图 1 所示，在我司交换设备上启动 DHCP-Snooping 功能后可实现对 DHCPClient 和 DHCP Server 之间 DHCP 交互报文的窥探。通过窥探，DHCP-Snooping 记录合法 DHCP 用户的信息（IP、MAC、所属 VLAN、端口、租约时间等），形成 DHCP-Snooping数据库。该数据库可以提供：1.IP 报文过滤提供依据；2.ARP

12、 报文过滤提供依据。3.3 非法非法 DHCP 报文拦截报文拦截DHCP-Snooping 的一个重要功能是实现对非法 DHCP 报文的拦截，包括屏蔽非法DHCP 服务器和过滤非法 DHCP 报文。-第 6 页3.3.1 屏蔽非法屏蔽非法 DHCP 服务器服务器为了屏蔽非法 DHCP 服务器，管理员需要将端口配置为信任口和非信任口二种类型。DHCP-Snooping 通过软件对 DHCP 报文进行处理。对如图 2 所示，将合法服务器的连接端口配置为信任口，其他端口默认为非信任端口。对于 DHCP 客户端请求报文，设备仅将其转发至信任口。对于 DHCP 服务器响应报文，设备仅转发从信任口收到的响

13、应报文，丢弃所有来自非信任口的响应报文。图图 2 信任口和非信任口信任口和非信任口 DHCP 报文处理过程报文处理过程按照图 2 所示，对于 PC1 和 PC2 发出的 DHCP DISCOVER 报文，交换设备仅将其转发到信任口；对于 Server1 和 Server2 发出的 DHCP OFFER 报文，交换设备仅转发 Server1的响应报文，丢弃 Server2 的响应报文。3.3.2 过滤非法报文过滤非法报文DHCP-Snooping 对经过设备的 DHCP 报文进行合法性检查，过滤非法报文。以下几种类型的报文被认为是非法的 DHCP 报文：1.非信任口收到的 DHCP 服务器响应报

14、文，包括 DHCP ACK、DHCP NAK、DHCPOFFER 等；2.经过 DHCP 中继转发的 DHCP 客户端请求报文；3.在开启 DHCP-Snooping 源 MAC 校验功能时，如果 Client 发出的 DHCP 报文中所携带的 Client MAC 字段值与报文链路层头部源 MAC 地址不一致，则视为非法报文；4.如果收到的 DHCP RELEASE、DHCP DECLINE 报文信息与 DHCP-Snooping 数据库中的记录不一致，则视为非法报文。3.4 Option 82部分网络管理员在对当前的用户进行 IP 管理时，希望能够根据用户所连接的网络设备信息来给用户分配

15、IP。DHCP-Snooping 允许在交换设备进行 DHCP 窥探的同时把一些用户相关的设备信息以 DHCP Option 的方式加入到 DHCP 请求报文中。根据 RFC3046 标准规定，所使用的 DHCP Option 选项号为 82。Option 82 添加的信息包括用户的 MAC、所处-第 7 页的 VLAN 号、端口号等。DHCP 服务器根据 DHCP 请求报文中携带的 Option 82 信息，更准确地为用户分配 IP 地址。3.5 提供安全过滤数据库提供安全过滤数据库3.5.1 DHCP-Snooping 数据库数据库在交换设备上启动 DHCP-Snooping 功能后，DH

16、CP-Snooping 将对 DHCP Client 和DHCP Server 之间交互的 DHCP 报文进行窥探。通过窥探 DHCP 报文交互流程，把用户成功申请到的 IP 地址、用户 MAC、所属 VLAN、端口、租约时间等信息组成一个用户记录表项，添加到 DHCP-Snooping 数据库中。DHCP-Snooping 数据库中的用户信息，如图 3 所示。图图 3 DHCP-Snooping 数据库数据库DHCP-Snooping 数据库具有添加、更新和删除的功能。当客户端成功申请到 IP 地址后，会添加相关记录到 DHCP-Snooping 数据库中；当客户端成功续约后，会更新DHCP

17、-Snooping 数据库中的租约时间；当客户端发出 DHCP RELEASE 报文或者地址租约到期后，会删除对应的 DHCP-Snooping 数据库表项。DHCP-Snooping 数据库还允许进行手工添加和删除，配置静态绑定用户。为了防止设备重新启动导致数据库中的用户信息丢失，DHCP-Snooping 提供定时将数据库中的用户信息写入 flash 功能。设备在重启后，自动从 flash 加载 DHCP-Snooping 数据库，保证之前申请的 DHCP 用户可以正常使用网络。目前我司产品暂不支持将DHCP-Snooping 数据库通过 FTP、TFTP 方式存储到远端服务器。3.5.2

18、 提供提供 IP 报文硬件过滤数据库报文硬件过滤数据库IP 报文硬件过滤功能是采用硬件对 IP 报文进行合法性检查，合法用户发送的 IP 报文允许通过，非法用户发送的 IP 报文被过滤。IP 报文硬件过滤以 DHCP-Snooping 数据库为依据，只允许在 DHCP-Snooping 数据库中存在相应表项的用户发送 IP 报文，阻止了用户MacAddressIpAddressLease(sec)TypeVLANInterface-00d0.f866.471c192.168.10.22591469dhcp-snooping1GigabitEthernet 0/5-第 8 页私设 IP 地址。当

19、打开 IP 报文硬件过滤功能后，DHCP-Snooping 会将 DHCP-Snooping 数据库信息添加到硬件过滤表中。3.5.3 提供提供 ARP 报文过滤数据库报文过滤数据库ARP 报文过滤是指对收到的 ARP 报文进行合法性检查，对于非法的 ARP 报文进行直接丢弃处理，可以有效防止 ARP 欺骗。DHCP-Snooping 数据库保存有合法 DHCP 用户的IP、MAC、VLAN、PORT 等信息。通过对 ARP 报文信息与 DHCP-Snooping 数据库中的表项进行匹配，确定报文的合法性，过滤非法 ARP 报文。4 DAI 技术分析技术分析为了解决 ARP 欺骗的问题，就需要

20、对经过交换机的所有 ARP 报文做合法性检查，将ARP 欺骗报文丢弃。根据这一需求，我司推出了基于软件的 DAI（Dynamic ARP Inspection）和基于硬件的 ARP-Check 两种技术。本文主要介绍基于软件的 DAI 技术。ARP-Check 技术请参考相应技术白皮书。4.1 了解了解 ARPARP 协议（Address Resolution Protocol）的基本功能就是通过目标设备的 IP 地址，查询目标设备的 MAC 地址，以保证通信的进行。ARP 协议是简单的报文交互而没有认证机制的，基于 ARP 协议的这一工作特性，任何人通过向计算机或者网络设备发送虚假的 ARP

21、报文便可达到 ARP 欺骗的目的。一种欺骗过程如下图所示：图图 4 ARP 欺骗过程欺骗过程如图 4 所示，假设主机 A 要和主机 B 通信，那么主机 A 就会发送 ARP 请求报文请求主机 B 的 MAC 地址；这个时候主机 B 学习到主机 A 的 MAC 地址为 MACA，同时主机 B发送应答报文告诉主机 A 自己的 MAC 地址为 MACB；主机 A 接收到应答报文后就学习到主机 B 的 MAC 地址；这样主机 A、B 都有对方的 MAC 地址，就可以进行通信。如果此时存在一台主机 C，主机 C 发送虚假的 ARP 应答报文告诉主机 A：主机 B 的MAC 地址为 MACC，这时候主机

22、A 就会把要发送到主机 B 的报文错误的发送到主机 C。-第 9 页4.2 DAI 技术简介技术简介为了防止用户或者网络设备被非法 ARP 报文欺骗，将所有通过交换机的 ARP 报文都送到CPU进行合法性检查的技术，称为动态ARP检测，即DAI技术。DAI以DHCP-Snooping数据库为检测依据，必须启动 DHCP-Snooping 功能后，DAI 功能才生效。启动 DAI 功能后，将收到 ARP 报文的源 IP、源 MAC、端口号、VLAN ID 信息同 DHCP-Snooping 数据库的用户信息进行匹配。如果一致则认为合法 ARP 报文，按既有流程处理；否则视为非法 ARP报文，丢弃

23、处理。DAI 技术由 ARP 报文限速、端口信任状态设置和 ARP 报文合法性检查三部分组成，其中 ARP 报文合法性检查是 DAI 技术的核心组成部分。下面将分别介绍这三个组成部分。4.3 ARP 报文限速报文限速由于设备执行 DAI 合法性检查，需要消耗一定的 CPU 资源，所以需要对 ARP 报文进行限速，这样可以在一定程度上抵御 DoS 攻击。默认情况下，非信任端口每秒钟 ARP 报文的最大个数是 15，信任端口则不受限制。由于 ARP 报文限速采用软件实现，在交换机 CPU繁忙的情况下，限速会有偏差。4.4 信任端口信任端口&非信任端口非信任端口在 DAI 功能中，并不是每个端口上收

24、到的 ARP 报文都需要进行合法性检测，为了区分是否需要进行合法性检测，管理员需要将端口配置为信任口与非信任口。从信任口接收到的ARP 报文，将跳过 DAI 检查；从非信任口接收到的 ARP 报文，将进行合法性检查。图图 5 DAI 功能端口配置功能端口配置如图 5 所示，PC1 和 PC2 有可能发送 ARP 欺骗报文，需要将连接 PC1、PC2 的端口配置为非信任口，对收到的 ARP 欺骗报文进行过滤；汇聚层设备不会发送 ARP 欺骗报文，需要将连接汇聚层设备的端口配置为信任口，对收到的 ARP 报文不进行合法性检查。4.5 ARP 报文检测报文检测步骤步骤DAI 结合 ARP 报文限速和

25、端口状态对 ARP 报文进行处理，主要执行以下步骤：1.将所有经过交换机的 ARP 报文截获；-第 10 页2.如果端口每秒钟收到的 ARP 报文的数量超过预设值，则超过部分的 ARP 报文将被丢弃；3.如果相应 VLAN 没有打开 DAI 功能，则按照既有流程处理；4.如果相应端口为信任口，则按照既有流程处理；5.如果相应 VLAN 打开了 DAI 功能且入口为非信任口，则根据 DHCP-Snooping 数据库，对所有 ARP 报文进行合法性检查；6.检查通过，则按照既有流程处理；检查失败，将报文丢弃。5 应用方案应用方案5.1 应用应用部署部署通过上面的介绍，DHCP-Snooping+

26、DAI(或 ARP-Check)技术的解决方案可以使当前网络更加稳定和安全。该解决方案主要部署在接入设备。如果将该方案部署在汇聚层及其以上的设备，那么接入层的非法 DHCP、ARP 报文将得不到有效的控制，不能充分发挥该方案的优势。如图 6 所示，如果将 DAI（或 ARP-Check)应用在 SW2 上，虽然 PC3、PC4 不会受到 PC1、PC2 发送的 ARP 报文的欺骗，但是 PC1、PC2 和 PC3、PC4 内部之间可能相互欺骗。基于上述原因，建议将方案部署在接入层。5.2 应用拓扑应用拓扑图图 6 DHCP-Snooping&DAI 应用拓扑图应用拓扑图如图 6 所示，SW4-

27、SW7 为接入层设备，SW2-SW3 为汇聚层设备，SW1 为核心层设备。为了有效的防御 DHCP 和 ARP 报文欺骗，应该在 SW4-SW7 上开启 DHCP-Snooping和 DAI(或 ARP-Check)功能。5.2 DHCP-Snooping+DAI这里以设备 SW4 上配置为例，SW5-SW7 则完全类似。假设 SW4 连接 PC1、PC2、SW2 的端口分别为 Fastethernet0/1、Fastethernet0/2、Fastethernet0/3。1.打开 DHCP-Snooping 全局开关；configure terminal-第 11 页ip dhcp snoo

28、pingend2.DHCP 服务器与 DHCP 客户端不在同一子网时，需要打开 DHCP 中继功能，并配置 DHCP 服务器地址；configure terminalservice dhcpip helper-address 192.168.1.100end3.将连接合法 DHCP 服务器的端口配置为信任口，连接用户的端口默认为非信任口；configure terminalinterface fastethernet 0/3ip dhcp snooping trustend4.为了防止私设 IP 地址的用户使用网络，需要打开接口上的地址绑定开关，通过硬件对非法 IP 报文进行过滤；config

29、ure terminalinterface range fastethernet 0/1-2ip dhcp snooping address-bindend5.对于需要使用静态 IP 地址的用户，可以通过添加静态绑定实现；(假设 PC2 需要使用静态 IP 地址，其 MAC 为：00d0.fa88.5687；VLAN 号为：1；IP 为：192.168.11.3；端口为：2)configure terminalip dhcp snooping binding 00d0.fa88.5687 vlan 1 ip 192.168.11.3 interfacefastethernet 0/2end6.

30、DAI 功能基于 VLAN 进行控制，需要对该 VLAN 内的非法 ARP 报文进行过滤时，在 VLAN 1 上打开 DAI 功能configure terminalip arp inspection vlan 1-第 12 页end7.上连端口不存在 ARP 欺骗，因此将上连端口配置为信任口；(当然，若其它端口确定不会存在 ARP 欺骗，也可以配置为信任口，比如接的是可靠的服务器)configure terminalinterface fastethernet 0/3ip arp inspection trustend8.为防止 ARP 报文送到 CPU 的速率过快，导致设备 CPU 利用率

31、过高，需要配置连接用户端口的 ARP 报文速率限制(如：20pps)；configure terminalinterface range fastethernet 0/1-2ip arp inspection limit-rate 20end目前，我司推出的 DHCP-Snooping+DAI 虽然能够较好的解决 ARP 欺骗问题，但由于 DAI 采用软件技术对 ARP 报文进行合法性检查，需要将所有 ARP 报文送到 CPU，因此在单位时间内发送大量 ARP 报文对设备进行攻击时，DAI 功能会占用大量 CPU，使 CPU利用率过高，从而影响其他协议的正常运行。因此，如果网络中存在 ARP

32、报文攻击量很大或很频繁的情况，需要慎用 DAI 功能。在条件允许的情况下，尽可能使用下面的 DHCP-Snooping+ARP-Check 应用方案。5.4 DHCP-Snooping+ARP-CheckARP-Check 通过硬件过滤 ARP 欺骗报文，保证送到 CPU 的 ARP 报文都是合法的，有效降低了 CPU 的负荷。DHCP-Snooping 功能在将 DHCP-Snooping 数据库用户信息添加到 IP 报文硬件过滤表时，同时添加到 ARP 报文硬件过滤表。ARP-Check 根据 ARP 报文硬件过滤表对 ARP 欺骗报文进行过滤。DHCP-Snooping+ARP-Chec

33、k 应用方案相比DHCP-Snooping+DAI 应用方案具有明显的优势，可以避免设备在受到 ARP 欺骗报文攻击时 CPU 利用率过高的问题。DHCP-Snooping+ARP-Check 应用方案同样部署于接入层设备，其应用拓扑如图 6所示。在配置中需要注意以下几点：-第 13 页1.DHCP-Snooping部分的配置，同DHCP-Snooping+DAI应用方案中的配置相同(步骤 1-步骤 5)；由于 ARP-Check 依赖于 DHCP Snooping 地址绑定功能，因此步骤 4 必须配置；2.不同于 DAI，ARP-Check 应用于端口模式下，需要对该端口上对收到的 ARP

34、欺骗报文进行硬件过滤时，在该端口上启用 ARP-Check 功能，比如需要在端口 1 和端口 2 上启用该功能；configure terminalinterface range fastethernet 0/1-2arp checkendDHCP-Snooping+ARP-Check 的解决方案，可实现通过硬件对 ARP 欺骗报文进行过滤，以及通过硬件对非法 IP 报文进行过滤。每个 DHCP-Snooping 用户需要占用二条硬件过滤表项，分别是一条 IP 报文硬件过滤表项和一条 ARP 报文硬件过滤表项。可添加到硬件过滤表中的 DHCP-Snooping 用户数目，由不同产品的硬件过滤表

35、容量所决定。不同产品可以添加的 DHCP-Snooping 用户数目，如下表：产品绑定项目S86S76S5750-24(48)S5760S3760S3750S32S29S5750S-24（48）S26DHCP-Snooping数据库容量（软件）20002000200020002000200020002000可添加到硬件过滤表中的 DHCP-Snooping用户数目-E 线卡1790；其它线卡894；06SFP、GT 和01XFP线卡894；其它线卡 382；S5750-24：7*128-2*n-1(n 指绑定的端口数量)；S5750-48 数目加倍，前 24口和后24 口各占一半；250500

36、每个千兆端口为 58；每八个百兆端口（1-8，9-16，）为123个；S2924GS2927XG为 250；S2951XG为 500，前24 口和后24 口各占一半；S2928G、S2952G 为3*128-2*n-1(n 指绑定的端口数量)；S5750S-24 和S26 为：3*128-2*n-1(n 指绑定的端口数量)；S5750S-48 数目加倍，前24 口和后 24 口各占一半；表表 1 数据库容量表数据库容量表上表为同时打开 DHCP-Snooping 和 ARP-Check 功能时，可以添加到硬件过滤表中的-第 14 页用户数目。在未打开 ARP-Check，仅使用 DHCP-Snooping 功能进行非法 IP 报文硬件过滤功能时(ARP 欺骗报文不会被过滤)，可添加到硬件过滤表的用户数目会增加一倍。S20、S23 均不支持硬件过滤。5.5 友商对比友商对比目前业界友商(H3C、CISCO)都推出了 DHCP-Snooping+DAI 的应用方案。CISCO 未实现 ARP-Check 功能，H3C 有 ARP-Check 功能，但 H3C 未推出 DHCP-Snooping+ARP-Check 的应用方案。