Cisco 解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法

网络管理员：现在用户真是不省心，自己改个IP地址；私接AP、忘关DHCP，还有的下个小黑客程序，就想在你内网里试试。单靠交换机能管吗？

测试工程师：能！很多交换机上的小功能都可帮大忙。

测试实况：

IP与MAC绑定

思科的Catalyst 3560交换机支持DHCPSnooping功能，交换机会监听DHCP的过程，交换机会生成一个IP和MAC地址对应表。思科的交换机更进一步的支持IP sourceguard和Dynamic ARP Inspection功能，这两个功能任启一个都可以自动的根据DHCPSnooping监听获得的IP和MAC地址对应表，进行绑定，防止私自更改地址。

Dynamic ARP Inspection功能还有一个好处是可以防范在2层网络的中间人攻击（见图4）。

思科在DHCP Snooping上还做了一些非常有益的扩展功能，比如Catalyst3560交换机可以限制端口通过的DHCP数据包的速率，粒度是pps，这样可以防止对DHCP服务器的进行地址请求的DoS攻击。另外Catalyst3560交换机还支持DHCPTracker，在DHCP请求中插入交换机端口的ID，从而限制每个端口申请的IP 地址数目，防止黑客程序对DHCP服务器进行目的为耗尽IP地址池的攻击。华硕虽然不能调整速率，但是也会限制DHCP请求的数量。

DHCP（动态主机配置协议）是一种简化主机IP地址配置管理的TCP/IP标准。该标准为DHCP服务器的使用提供了一种有效的方法：即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。

在基于TCP／IP协议的网络中，每台计算机都必须有唯一的IP地址才能访问网络上的资源，网络中计算机之间的通信是通过IP地址来实现的，并且通过IP地址和子网掩码来标识主计算机及其所连接的子网。在局域网中如果计算机的数量比较少，当然可以手动设置其IP地址，但是如果在计算机的数量较多并且划分了多个子网的情况下，为计算机配置IP地址所涉及的管理员工作量和复杂性就会相当繁重，而且容易出错，如在实际使用过程中，我们经常会遇到因IP地址冲突、网关或DNS服务器地址的设置错误导致无法访问网络、机器经常变动位置而不得不频繁地更换IP 地址等问题。

DHCP则很好地解决了上述的问题，通过在网络上安装和配置DHCP服务器，启用了DHCP的客户机可在每次启动并加入网络时自动地获得其上网所需的IP地址和相关的配置参数。从而减少了配置管理，提供了安全而可靠的配置。

配置DHCP服务的服务器可以为每一个网络客户提供一个IP地址、子网掩码、缺省网关，以及DNS服务器的地址。DHCP避免了因手工设置IP地址及子网掩码所产生的错误，也避免了把一个IP地址分配给多台主机所造成的地址冲突。降低了IP 地址管理员的设置负担，使用DHCP服务器可以大大地缩短配置网络中主机所花费的时间。

但是，随着DHCP服务的广泛应用，也产生了一些问题。首先，DHCP服务允许在一个子网内存在多台DHCP服务器，这就意味着管理员无法保证客户端只能从管理员所设置的DHCP服务器中获取合法的IP地址，而不从一些用户自建的非法DHCP 服务器中取得IP地址；其次，在部署DHCP服务的子网中，指定了合法的IP地址、掩码和网关的主机也可以正常地访问网络，而DHCP服务器却仍然会有可能将该地

址分配给其他主机，这样就会造成地址冲突，影响IP地址的正常分配。

针对上述问题，本文给出了一个解决方案，即通过使用Cisco提供的DHCP Snooping 技术和Dynamic ARP Inspection技术，可以有效地防止以上问题的发生。

这里首先对两种技术做一个简要的介绍，然后将给出一个应用实例加以说明。

四、应用实例

我校1＃学生公寓，PC拥有数量大约1000台。采用DHCP分配IP地址，拥有4个C类地址，实际可用地址数约1000个。由于楼内经常存在私开的DHCP服务器，导致大量主机无法分配到合法IP地址；另外，由于有相当数量的主机指定IP地址，因此造成了与DHCP分配的IP地址冲突。以上两方面，均造成了该公寓楼大量主机无法正常访问网络。

经过一段时间的分析、实验，我们决定对该公寓楼部署DHCP Snooping和Dynamic ARP Inspection两项技术，以保证网络的正常运行。

该公寓网络设备使用情况如下，接入层为××台Cisco 2950交换机上联至堆叠的4台Cisco 3750，再通过光纤上联至汇聚层的Cisco 3750交换机。同时汇聚层的Cisco 3750交换机还兼做DHCP服务器。

部署过程

首先按如下过程配置DHCP Snooping

1 configure terminal

2 ip dhcp snooping 在全局模式下启用DHCP Snooping

3 ip dhcp snooping vlan 103 在VLAN 103中启用DHCP Snooping

4 ip dhcp snooping information option Enable the switch to insertand remove DHCP relay information(option-82 field) in forwarded DHCPrequest messages to the DHCP server. The default is enabled.

5 interface GigabitEthernet1/0/28，进入交换机的第28口

6 ip dhcp snooping trust 将第28口设置为受信任端口

7 ip dhcp snooping limit rate 500 设置每秒钟处理DHCP数据包上限

9 end 退出

完成配置后，可用如下命令观察DHCP Snooping运行状况：

show ip dhcp snooping

得到如下信息：

Switch DHCP snooping is enabled

DHCP snooping is configured on following VLANs：

103

Insertion of option 82 is enabled

V erification of hwaddr field is enabled

Interface Trusted Rate limit (pps)

------------------------ ------- ----------------

GigabitEthernet1/0/22 yes unlimited

GigabitEthernet1/0/24 yes unlimited

GigabitEthernet1/0/27 yes unlimited

GigabitEthernet1/0/28 no 500

show ip dhcp snooping binding，得到如下信息：

MacAddress IpAddress Lease(sec) Type VLAN Interface

------------------ --------------- ---------- ------------- ----