該樓層疑似違規已被系統折疊?隱藏此樓查看此樓

DHCP Snooping是一種DHCP安全特性，通過MAC地址限制、DHCP Snooping安全綁定、IP + MAC綁定、Option82特性等功能過濾不信任的DHCP消息，解決了設備應用DHCP時遇到DHCP DoS攻擊、DHCP Server仿冒攻擊、ARP中間人攻擊及IP/MAC Spoofing攻擊的問題。

組網需求

如圖1所示，USG作為DHCP Relay，部署在DHCP Client和DHCP Server之間，避免網絡受到各種DHCP攻擊。

防止的攻擊類型如下：

DHCP Server仿冒者攻擊

中間人攻擊與IP/MAC Spoofing攻擊

改變CHADDR值的DoS攻擊

仿冒DHCP續租報文攻擊

發送DHCP Request報文攻擊

圖1 配置設備的DHCP Snooping功能組網圖

網絡規劃

根據網絡情況和需求，網絡規劃如下：

為了防范各種DHCP攻擊，需要在全局視圖和接口視圖下開啟DHCP Snooping功能。

為了避免受到DHCP Server仿冒者的攻擊，需要把用戶側的接口配置為Untrusted模式，把DHCP Server側的接口配置為Trusted模式，所有從Untrusted接口收到的DHCP Relay報文全部丟棄。

為了避免受到中間人與IP/MAC Spoofing攻擊，需要使用DHCP Snooping綁定功能，只有接收到報文的信息和綁定表中的內容一致才會被轉發，否則報文將被丟棄。

為了避免受到攻擊者改變CHADDR值的攻擊，需要檢查DHCP Request報文中的CHADDR字段。如果該字段跟數據幀頭部的源MAC相匹配，便轉發報文；否則，丟棄報文。

為了避免受到攻擊者仿冒DHCP續租報文進行攻擊，需要檢查DHCP Request報文和使用DHCP Snooping綁定功能，只有接收到的報文的信息和綁定表中的內容一致才會被認為是正常的申請報文，報文被轉發，否則報文將被丟棄。

為了避免DHCP Request報文攻擊，可以配置DHCP上送速率檢查。

在DHCP報文被大量丟棄時，配置設備向網管的告警的功能，以便管理員及時了解情況，采取對應措施。

操作步驟

1配置DHCP Relay功能，實現網絡的DHCP功能。

# 配置接口GigabitEthernet 0/0/2的IP地址。

system-view

[USG] sysname DHCP-Relay

[DHCP-Relay] interface GigabitEthernet 0/0/2

[DHCP-Relay-GigabitEthernet 0/0/2] ip address 100.1.1.1 24

[DHCP-Relay-GigabitEthernet 0/0/2] quit

# 在接口GigabitEthernet 0/0/1上配置DHCP Relay功能，使其和DHCP Client屬于同一個網段。

[DHCP-Relay] interface GigabitEthernet 0/0/1

[DHCP-Relay–GigabitEthernet 0/0/1] ip address 10.1.1.1 24

[DHCP-Relay-GigabitEthernet 0/0/1] dhcp select relay

[DHCP-Relay-GigabitEthernet 0/0/1] ip relay address 100.1.1.2

2 開啟DHCP Snooping功能。

# 啟用全局和接口的DHCP Snooping功能。

[DHCP-Relay] dhcp snooping enable

[DHCP-Relay] interface GigabitEthernet 0/0/1

[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping enable

[DHCP-Relay-GigabitEthernet0/0/1] quit

[DHCP-Relay] interface GigabitEthernet 0/0/2

[DHCP-Relay-GigabitEthernet0/0/2] dhcp snooping enable

[DHCP-Relay-GigabitEthernet0/0/2] quit

3 配置Trusted接口，防止DHCP Server仿冒者攻擊。

# 將連接DHCP Server側的接口配置為“Trusted”，將連接DHCP Client側的接口設置為“Untrusted”(接口上啟用DHCP Snooping功能后，接口模式默認為“Untrusted”)。

[DHCP-Relay] interface GigabitEthernet 0/0/2

[DHCP-Relay-GigabitEthernet0/0/2] dhcp snooping trusted

[DHCP-Relay-GigabitEthernet0/0/2] quit

4 配置對特定報文的檢查和DHCP Snooping綁定表。

# 在DHCP Client側的接口進行ARP報文和IP報文檢查，這樣可以防止中間人攻擊與IP/MAC Spoofing攻擊。

[DHCP-Relay] interface GigabitEthernet 0/0/1

[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping check arp enable

[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping check ip enable

[DHCP-Relay-GigabitEthernet0/0/1] quit

# 在DHCP Client側的接口進行DHCP Request報文檢查，這樣可以防止仿冒DHCP續租報文的攻擊。

[DHCP-Relay] interface GigabitEthernet 0/0/1

[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping check dhcp-request enable

[DHCP-Relay-GigabitEthernet0/0/1] quit

# 在DHCP Client側的接口進行CHADDR檢查，這樣可以防止改變CHADDR值的DoS攻擊。

[DHCP-Relay] interface GigabitEthernet 0/0/1

[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping check dhcp-chaddr enable

[DHCP-Relay-GigabitEthernet0/0/1] quit

5 配置DHCP上送速率限制，防止DHCP Request報文攻擊。

# 配置DHCP上送速率檢查，這樣可以防止DHCP Request報文攻擊。

[DHCP-Relay] dhcp snooping check dhcp-rate 90

[DHCP-Relay] dhcp snooping check dhcp-rate enable

6 配置Option82功能。

# 配置DHCP報文中攜帶接口信息，以便建立精確的綁定表信息。

[DHCP-Relay] interface GigabitEthernet 0/0/1

[DHCP-Relay-GigabitEthernet0/0/1] dhcp option82 insert enable

[DHCP-Relay-GigabitEthernet0/0/1] quit

7 配置丟棄沒有表項的報文，保證網絡的安全。

# 配置對全局ARP報文和IP報文的轉發行為。

[DHCP-Relay] dhcp snooping nomatch-packet arp action discard

[DHCP-Relay] dhcp snooping nomatch-packet ip action discard

# 配置對接口ARP報文和IP報文的轉發行為。

[DHCP-Relay] interface GigabitEthernet 0/0/1

[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping nomatch-packet arp action discard

[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping nomatch-packet ip action discard

[DHCP-Relay-GigabitEthernet0/0/1] quit

8 配置向網管告警功能。

# 開啟向網管告警。

[DHCP-Relay] interface GigabitEthernet 0/0/1

[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-reply enable

[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping alarm arp enable

[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-chaddr enable

[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-request enable

[DHCP-Relay-GigabitEthernet0/0/1] quit

[DHCP-Relay] dhcp snooping check dhcp-rate alarm enable

# 配置告警閾值。

[DHCP-Relay] interface GigabitEthernet 0/0/1

[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-reply threshold 10

[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping alarm arp threshold 10

[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-chaddr threshold 10

[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-request threshold 10

[DHCP-Relay-GigabitEthernet0/0/1] quit

[DHCP-Relay] dhcp snooping check dhcp-rate alarm threshold 40

結果驗證

在DHCP-Relay上執行display dhcp snooping global命令可以看到全局和接口視圖下已經開啟DHCP Snooping功能，并查看向網管告警的統計信息。

[DHCP-Relay] display dhcp snooping global

dhcp snooping enable

dhcp snooping nomatch-packet ip action discard

dhcp snooping nomatch-packet arp action discard

dhcp snooping check dhcp-rate enable

dhcp snooping check dhcp-rate alarm enable

dhcp snooping check dhcp-rate 90

dhcp snooping check dhcp-rate alarm threshold 40

查看DHCP Snooping綁定表的表項信息。

[DHCP-Relay] display dhcp snooping bind-table static

bind-table:

ifname vrf vsi p/cvlan mac-address ip-address tp lease

-------------------------------------------------------------------------------

GE0/0/1 0000 - 0000/0000 00e0-fc5e-008a 010.001.001.001 S 0

-------------------------------------------------------------------------------

binditem count: 1 binditem total count: 1 顯示接口上的DHCP Snooping相關信息。

[DHCP-Relay] display dhcp snooping interface GigabitEthernet 0/0/1

dhcp snooping enable

dhcp snooping check arp enable

dhcp snooping alarm arp enable

dhcp snooping alarm arp threshold 10

dhcp snooping nomatch-packet arp action discard

dhcp snooping check ip enable

dhcp snooping nomatch-packet ip action discard

dhcp snooping alarm dhcp-reply enable

dhcp snooping alarm dhcp-reply threshold 10

dhcp snooping check dhcp-chaddr enable

dhcp snooping alarm dhcp-chaddr enable

dhcp snooping alarm dhcp-chaddr threshold 10

dhcp snooping check dhcp-request enable

dhcp snooping alarm dhcp-request enable

dhcp snooping alarm dhcp-request threshold 10

arp total 0

ip total 0

dhcp-request total 0

chaddr&src mac total 0

dhcp-reply total 0

[DHCP-Relay] display dhcp option82 interface GigabitEthernet 0/0/1

dhcp option82 insert enable interface GigabitEthernet0/0/1

[DHCP-Relay] display dhcp snooping interface GigabitEthernet 0/0/2

dhcp snooping enable

dhcp snooping trusted

arp total 0

ip total 0

dhcp-request total 0

chaddr&src mac total 0

dhcp-reply total 0

總結

以上是生活随笔為你收集整理的dhcp snooping华为_华为防火墙配置DHCP Snooping保护DHCP服务器的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。