概述:
DHCP Snoop功能主要是應用在較大網絡中接入設備較多,人員復雜的環境,存在私接小路由器的情況從而造成地址獲取混亂的情況,使用抑制dhcp相應報文的手段去限制只有正確的DHCP下發IP地址,從而保證網絡的IP的統一性。
大體就是設置監控接口和信任端口,信任端口可以輸入dhcp響應報文,監控端口只允許輸入DHCP請求報文。
詳細案例如下:
整體配置較為簡單,也不復雜,注意不同廠家配置命令可能不太一樣,但是基本思路是一致的。 遇到的時候可以上網自行搜索案例進行配置。
衍生技術
在配置完DHCP Snooping之后再說兩個依賴這個技術衍生的技術,用得少但是特殊環境很好用的技術(啟用只會有個小缺點就是消耗一些CPU資源)。
1、IPSG:IP源保護,IPSG用於同一個網絡中,其他主機盜用自己的IP地址。如果配置了IPSG,那么每個端口只能有一個IP地址,就算你的主機關機了,但是只要別人沒有占用你的端口,就不能用你的IP地址。這是一個很好的防止內部網絡亂改IP的技術。默認IPSG只以源IP地址為條件過濾IP包,如果加上以源MAC地址為條件過濾的話,必須開啟DHCP SNOOPING INFORMAITON OPTION 82功能。
靜態綁定IPSG案例:
<HUAWEI> system-view
[HUAWEI] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 //創建靜態綁定表項
[HUAWEI] user-bind static ip-address 10.0.0.11 mac-address 0002-0002-0002 //創建靜態綁定表項
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind enable //使能IP報文檢查功能
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind alarm enable //使能IP報文檢查告警功能
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 100 //配置IP報文檢查告警閾值(100表示每秒的報文數)
動態綁定表IPSG案例:
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind enable //使能IP報文檢查功能
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind alarm enable //使能IP報文檢查告警功能
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind alarm threshold 100 //配置IP報文檢查告警閾值 (100表示每秒的報文數)
配置ND Snooping功能
<HUAWEI> system-view
[HUAWEI] nd snooping enable //使能全局ND Snooping功能
[HUAWEI] interface gigabitethernet 0/0/1 //進入用戶側接口
[HUAWEI-GigabitEthernet0/0/1] nd snooping enable //使能ND Snooping功能
[HUAWEI-GigabitEthernet0/0/1] quit
[HUAWEI] interface gigabitethernet 0/0/2 //進入直接或間接連接網關的接口
[HUAWEI-GigabitEthernet0/0/2] nd snooping trusted //配置該接口為信任接口
2、DAI主要是防范中間人攻擊的,中間人他並不會搶占別人的IP,而是通過arp欺騙,引導2層數據流從自己這里經過,從而可以截獲他人信息。DAI利用snooping表中的端口和MAC項,來過濾非法的ARP應答,保證ARP請求可以得到正確的應答。
生成動態動態綁定表
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] arp anti-attack check user-bind enable //使能動態ARP檢測功能
[HUAWEI-GigabitEthernet0/0/1] arp anti-attack check user-bind check-item ip-address //配置ARP報文綁定表匹配檢查時只檢查IP地址
[HUAWEI-GigabitEthernet0/0/1] arp anti-attack check user-bind alarm enable //使能動態ARP檢測丟棄報文告警功能。
[HUAWEI-GigabitEthernet0/0/1] arp anti-attack check user-bind alarm threshold 100 //配置動態ARP檢測丟棄報文閾值。(100表示每秒的報文數)
配置端口安全功能
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-security enable //使能端口安全功能
[HUAWEI-GigabitEthernet0/0/1] port-security max-mac-num 1 //配置端口安全MAC地址學習限制數
[HUAWEI-GigabitEthernet0/0/1] port-security protect-action restrict //配置端口安全保護動作
[HUAWEI-GigabitEthernet0/0/1] port-security aging-time 100 //配置端口安全動態MAC地址的老化時間
配置端口隔離功能
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] port-isolate enable //配置該接口的端口隔離功能