Cisco交换机DHCP+Snooping功能详解+实例

合集下载

交换机DHCP SNOOPING功能

1、交换机DHCP SNOOPING功能一种DHCP安全特性，通过监听DHCP流量，来建立和维护一个DHCP Snooping Binding Database/Table,并且过滤untrusted DHCP消息。

连接在交换机上的所有PC都配置为动态获取IP地址，PC作为DHCP客户端通过广播发送DHCP请求，DHCP服务器将含有IP地址信息的DHCP 回复通过单播的方式发送给DHCP客户端，交换机从DHCP报文中提取关键信息（包括IP地址，MAC地址，vlan号，端口号，租期等），并把这些信息保存到 DHCP 监听绑定表中。

DHCP Snooping就像是运行在untrusted hosts与DHCP SERVER之间的一个firewall一样。

使用DHCP Snooping可以将连接到end user的untrusted interfaces与连接到DHCP SERVER或其它switch的trusted interfaces区别开来。

DHCP Snooping的一个主要作用是确保DHCP Server的合法性，对不合法的DHCP Server进行隔离。

2、交换机IPSG/DAI功能IP源防护(IP Source Guard，简称IPSG）：在华三、华为、锐捷等厂家的交换机内部有一个IP源绑定表（IP Source Binding Table）作为每个端口接受到的数据包的检测标准，只有在两种情况下，交换机会转发数据，其余数据包将被交换机做丢弃处理：✓所接收到的IP包满足IP源绑定表中Port/IP/MAC的对应关系✓所接收到的是DHCP数据包IP源绑定表可以由用户在交换机上静态添加，或者由交换机从DHCP监听绑定表（DHCP Snooping Binding Table）自动学习获得。

静态配置是一种简单而固定的方式，但灵活性很差，因此建议用户最好结合DHCP Snooping技术使用IP Source Guard，由DHCP监听绑定表生成IP源绑定表。

思科路由器如何配置DHCP实例

思科路由器如何配置DHCP实例在一个局域网中，我们可以使用一个DHCP服务器来管理网络中的IP地址，这样会轻松很多的，也不需要担心IP地址冲突的问题了。

下面是店铺收集整理的思科路由器如何配置DHCP实例，希望对大家有帮助~~思科路由器如何配置DHCP实例客户需求：1.同时为多个VLAN的客户机分配地址2.VLAN内有部分地址采用手工分配的方式3.为客户指定网关、Wins服务器等4.VLAN 2的地址租用有效期限为1天,其它为3天5.按MAC地址为特定用户分配指定的IP地址最终配置如下：ip dhcp excluded-address 10.1.1.1 10.1.1.19 //排除的地址范围，不用于动态地址分配的地址ip dhcp excluded-address 10.1.1.240 10.1.1.254ip dhcp excluded-address 10.1.2.1 10.1.2.19!ip dhcp pool global //global是pool name地址池的名字，由用户指定，随便写不过一定写的通俗最起码自己要能看懂network 10.1.0.0 255.255.0.0 //动态分配的地址段(将要分配给用户的地址)dns-server 10.1.1.1 10.1.1.2 //为客户机配置dns服务器netbios-name-server 10.1.1.5 10.1.1.6 //为客户机配置wins服务器(这个根据情况设置，一般不需要)netbios-node-type h-node //为客户机配置节点模式(影响名称解释的顺利,如h-node=先通过wins服务器解释)lease 3 //地址租用期限: 3天ip dhcp pool vlan1network 10.1.1.0 255.255.255.0 //本pool是global的子pool, 将从global pool继承domain-name 等optiondefault-router 10.1.1.100 10.1.1.101 //为客户机配置默认网关!ip dhcp pool vlan2 //为另一VLAN配置的poolnetwork 10.1.2.0 255.255.255.0default-router 10.1.2.100 10.1.2.101lease 1!ip dhcp pool vlan1_liangwei //总是为MAC地址为010050.bade.6384的机器分配10.1.1.21地址host 10.1.1.21255.255.255.0client-identifier 010050.bade.6384 //client-identifier=01加上客户机网卡地址!ip dhcp pool vlan1_liangwei5host 10.1.1.50 255.255.255.0client-identifier 010010.3ab1.eac8相关的DHCP调试命令：no service dhcp //停止DHCP服务[默认为启用DHCP服务]sh ip dhcp binding //显示地址分配情况show ip dhcp conflict //显示地址冲突情况debug ip dhcp server {events | packets | linkage} //观察DHCP服务器工作情况如果DHCP客户机分配不到IP地址，常见的原因有两个。

15-dhcp-snooping命令

【视图】系统视图
【参数】无
【描述】 dhcp-snooping 命令用来开启交换机监听 DHCP 广播报文的功能， undo dhcp-snooping 命令用来关闭此功能。缺省情况下，交换机关闭监听 DHCP 广播报文功能。相关配置可参考命令 display dhcp-snooping。
【视图】任意视图
1-1
H3C S3100-SI 系列以太网交换机命令手册 DHCP-Snooping
【参数】
无
第 1 章 DHCP-Snooping 配置命令
【描述】
display dhcp-snooping 命令用来显示通过 DHCP-Snooping 记录的用户 IP 地址和 MAC 地址的对应关系。相关配置可参考命令 dhcp-snooping。
【举例】 # 启动监听 DHCP 功能。
<H3C> system-view System View: return to User View with Ctrl+Z [H3C] dhcp-snooping
1.1.2 display dhcp-snooping
【命令】 display dhcp-snooping
H3C S3100-SI 系列以太网交换机命令手册 DHCP-Snooping
目录
目录
第 1 章 DHCP-Snooping配置命令 ...........................................................................................1-1 1.1 DHCP-Snooping配置命令.................................................................................................. 1-1 1.1.1 dhcp-snooping......................................................................................................... 1-1 1.1.2 display dhcp-snooping ............................................................................................ 1-1

开启Cisco交换机DHCP Snooping功能

开启Cisco交换机DHCP Snooping功能一、采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数，简化了网络配置，提高了管理效率。

但在DHCP服务的管理上存在一些问题，常见的有：●DHCP Server的冒充●DHCP Server的DOS攻击，如DHCP耗竭攻击●某些用户随便指定IP地址，造成IP地址冲突1、DHCP Server的冒充由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。

只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。

2、DHCP Server的拒绝服务攻击通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR（也就是Client MAC address）字段来判断客户端的MAC地址。

正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。

攻击者可以利用伪造MAC的方式发送DHCP请求，但这种攻击可以使用Cisco 交换机的端口安全特性来防止。

端口安全特性（Port Security）可以限制每个端口只使用唯一的MAC地址。

但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改DHCP报文中的CHADDR字段来实施攻击，那端口安全就不起作用了。

由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造CHADDR的DHCP请求，导致DHCP服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种DHCP耗竭攻击。

DHCP耗竭攻击可以是纯粹的DOS攻击，也可以与伪造的DHCP服务器配合使用。

当正常的DHCP服务器瘫痪时，攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址，使它们将信息转发给准备截取的恶意计算机。

DHCP snooping(交换机配置指导)

交换机配置指导文档文档作者：刘永渝文档密级：内部公开修订日期：2011年12月28 日变更记录注：对该文档内容的增加、删除或修改均需填写此记录，详细记载变更信息，以保证其可追溯性。

目录1前言 (2)1.1文档目的 (2)1.2术语和缩略语 (2)1.3参考资料 (2)2功能概述 (2)3工作原理 (2)4实现方式 (3)5报文流程 ........................................................................................................... 错误!未定义书签。

6应用场景 (4)6.1拓扑结构 (4)6.2场景分析 (4)6.3CLI配置 (4)附录.............................................................................................................................. 错误!未定义书签。

1 前言1.1 文档目的1.2 术语和缩略语【简单描述文档中涉及到的术语和缩略语】1.3 参考资料【罗列出有助于理解该产品功能的相关文档，如RFC或相关书籍等】2 功能概述1.dhcp-snooping的主要作用就是隔绝非法的dhcp server，通过配置非信任端口。

2.与交换机DAI的配合，防止ARP病毒的传播。

3.建立和维护一张dhcp-snooping的绑定表，这张表一是通过dhcp ack包中的ip和mac地址生成的，二是可以手工指定。

这张表是后续DAI（dynamic arp inspect）和IP Source Guard 基础。

这两种类似的技术，是通过这张表来判定ip或者mac地址是否合法，来限制用户连接到网络的。

3 工作原理DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。

DHCP Snooping Option 82配置举例

DHCP Snooping Option 82配置举例1 特性简介Option 82称为中继代理信息选项，该选项记录了DHCP client的位置信息。

DHCP snooping设备通过在DHCP请求报文中添加Option 82，将DHCP client的位置信息告诉给DHCP server，从而使得DHCP server能够为主机分配合适的IP地址和其他配置信息，并实现对客户端的安全和计费等控制。

2 应用场合图1 Option 82应用举例DHCP server通常根据请求报文中的giaddr或接收到请求报文的接口IP地址，为客户端分配IP地址。

在图1 中，DHCP服务器根据主机所在的网段，选取地址分配给Host A和Host B。

如果希望连接Ethernet1/2端口的客户端地址在某一范围，连接Ethernet1/3端口的客户端地址在另一范围，传统的地址分配方式是无法实现的。

利用Option 82，DHCP服务器根据客户端连接的DHCP snooping端口和giaddr地址来为客户端分配合适的IP地址，这样就可以满足上述需求。

Option 82能够标识不同的用户，服务器可以根据Option 82为不同的用户分配不同的IP地址，从而实现QoS、安全和计费的管理。

3 注意事项只有使能DHCP snooping功能之后，DHCP Option 82功能才能生效。

DHCP snooping不支持链路聚合。

若二层以太网接口加入聚合组，则该接口上进行的DHCP snooping配置不会生效；该接口退出聚合组后，之前的DHCP snooping配置才会生效。

设备只有位于DHCP客户端与DHCP服务器之间，或DHCP客户端与DHCP中继之间时，DHCP snooping功能配置后才能正常工作；设备位于DHCP服务器与DHCP中继之间时，DHCP snooping 功能配置后不能正常工作。

DHCP snooping option 82功能建议在最靠近DHCP client的snooping设备上使用，以达到精确定位用户位置的目的。

cisco交换机配置实例教程(2024)

2024/1/29
堆叠交换机
允许多个交换机堆叠成一个逻辑单元，简化管理和提高可扩展性。
11
不同场景下的选型建议
01
接入层交换机
02
汇聚层交换机
03
核心层交换机
用于连接用户设备，如PC、打印机等，通常选择固定配置或堆叠交换机。
实现接入层交换机之间的汇聚，需要具备较高性能和端口密度，常选择模块化交换机。
进入全局配置模式
配置静态路由基本步骤
01
2024/1/29
03 02
26
静态路由协议配置教程
2024/1/29
01
指定目标网络和下一跳地址或出口接口
02
静态路由配置示例
03
配置静态路由到达远程网络
27
静态路由协议配置教程
配置默认路由指向上级路由器
2024/1/29
优点：简单、稳定、低开销
静态路由优缺点分析
2024/1/29
17
04
端口配置与VLAN划分实例
2024/1/29
18
端口类型及配置方法
以太网端口（Ethernet Port）
用于连接计算机、服务器等终端设备。
汇聚端口（Trunk Port）
用于交换机之间的连接，可以传输多个VLAN的数据。
2024/1/29
19
端口类型及配置方法
• 访问端口（Access Port）：用于连接属于某个VLAN的终端设备。
2024/1/29
20
端口类型及配置方法
进入端口配置模式
设置端口类型
配置VLAN
通过命令`interface <端口号>` 进入端口配置模式。

DHCP Snooping功能和实例详解

DHCP Snooping功能与实例详解一、采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数，简化了网络配置，提高了管理效率。

但在DHCP 服务的管理上存在一些问题，常见的有：●DHCP Server的冒充●DHCP Server的DOS攻击，如DHCP耗竭攻击●某些用户随便指定IP地址，造成IP地址冲突1、DHCP Server的冒充由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。

只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。

2、DHCP Server的拒绝服务攻击通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR （也就是Client MAC address）字段来判断客户端的MAC地址。

正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。

攻击者可以利用伪造MAC的方式发送DHCP请求，但这种攻击可以使用Cisco 交换机的端口安全特性来防止。

端口安全特性（Port Security）可以限制每个端口只使用唯一的MAC地址。

但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改DHCP报文中的CHADDR字段来实施攻击，那端口安全就不起作用了。

DHCP耗竭攻击可以是纯粹的DOS攻击，也可以与伪造的DHCP服务器配合使用。

当正常的DHCP服务器瘫痪时，攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址，使它们将信息转发给准备截取的恶意计算机。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

一、采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数，简化了网络配置，提高了管理效率。

只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。

2、DHCP Server的拒绝服务攻击通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR（也就是Client MAC address）字段来判断客户端的MAC地址。

正常情况下该CHADDR 字段和发送请求报文的客户端真实的MAC地址是相同的。

攻击者可以利用伪造MAC的方式发送DHCP请求，但这种攻击可以使用Cisco 交换机的端口安全特性来防止。

端口安全特性（Port Security）可以限制每个端口只使用唯一的MAC 地址。

但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改DHCP报文中的CHADDR字段来实施攻击，那端口安全就不起作用了。

DHCP耗竭攻击可以是纯粹的DOS攻击，也可以与伪造的DHCP服务器配合使用。

当正常的DHCP服务器瘫痪时，攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址，使它们将信息转发给准备截取的恶意计算机。

甚至即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的，但由于DHCP请求报文是广播报文，如果大量发送的话也会耗尽网络带宽，形成另一种拒绝服务攻击。

3、客户端随意指定IP地址客户端并非一定要使用DHCP服务，它可以通过静态指定的方式来设置IP地址。

如果随便指定的话，将会大大提高网络IP地址冲突的可能性。

二、DHCP Snooping技术介绍DHCP监听（DHCP Snooping）是一种DHCP安全特性。

Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。

通过这种特性，交换机能够拦截第二层VLAN 域内的所有DHCP报文。

DHCP监听将交换机端口划分为两类：●非信任端口：通常为连接终端设备的端口，如PC，网络打印机等●信任端口：连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口通过开启DHCP监听特性，交换机限制用户端口（非信任端口）只能够发送DHCP请求，丢弃来自用户端口的所有其它DHCP报文，例如DHCP Offer报文等。

而且，并非所有来自用户端口的DHCP请求都被允许通过，交换机还会比较DHCP 请求报文的（报文头里的）源MAC地址和（报文内容里的）DHCP客户机的硬件地址（即CHADDR字段），只有这两者相同的请求报文才会被转发，否则将被丢弃。

这样就防止了DHCP耗竭攻击。

信任端口可以接收所有的DHCP报文。

通过只将交换机连接到合法DHCP服务器的端口设置为信任端口，其他端口设置为非信任端口，就可以防止用户伪造DHCP服务器来攻击网络。

DHCP监听特性还可以对端口的DHCP报文进行限速。

通过在每个非信任端口下进行限速，将可以阻止合法DHCP请求报文的广播攻击。

DHCP监听还有一个非常重要的作用就是建立一张DHCP监听绑定表（DHCP Snooping Binding）。

一旦一个连接在非信任端口的客户端获得一个合法的DHCPOffer，交换机就会自动在DHCP监听绑定表里添加一个绑定条目，内容包括了该非信任端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信息。

如：这张DHCP监听绑定表为进一步部署IP源防护（IPSG）和动态ARP检测（DAI）提供了依据。

说明：I. 非信任端口只允许客户端的DHCP请求报文通过，这里只是相对于DHCP 报文来说的。

其他非DHCP报文还是可以正常转发的。

这就表示客户端可以以静态指定IP地址的方式通过非信任端口接入网络。

由于静态客户端不会发送DHCP 报文，所以DHCP监听绑定表里也不会有该静态客户端的记录。

信任端口的客户端信息不会被记录到DHCP监听绑定表里。

如果有一客户端连接到了一个信任端口，即使它是通过正常的DHCP方式获得IP地址，DHCP监听绑定表里也不有该客户端的记录。

如果要求客户端只能以动态获得IP的方式接入网络，则必须借助于IPSG和DAI技术。

II.交换机为了获得高速转发，通常只检查报文的二层帧头，获得目标MAC 地址后直接转发，不会去检查报文的内容。

而DHCP监听本质上就是开启交换机对DHCP报文的内容部分的检查，DHCP报文不再只是被检查帧头了。

III. DHCP监听绑定表不仅用于防御DHCP攻击，还为后续的IPSG和DAI技术提供动态数据库支持。

IV. DHCP监听绑定表里的Lease列就是每个客户端对应的DHCP租约时间。

当客户端离开网络后，该条目并不会立即消失。

当客户端再次接入网络，重新发起DHCP请求以后，相应的条目内容就会被更新。

如上面的00F.1FC5.1008这个客户端原本插在Fa0/1端口，现在插在Fa0/3端口，相应的记录在它再次发送DHCP请求并获得地址后会更新为：V.当交换机收到一个DHCPDECLINE或DHCPRELEASE广播报文，并且报文头的源MAC地址存在于DHCP监听绑定表的一个条目中。

但是报文的实际接收端口与绑定表条目中的端口字段不一致时，该报文将被丢弃。

●DHCPRELEASE报文：此报文是客户端主动释放IP 地址（如Windows 客户端使用ipconfig/release），当DHCP服务器收到此报文后就可以收回IP地址，分配给其他的客户端了●DHCPDECLINE报文：当客户端发现DHCP服务器分配给它的IP地址无法使用（如IP地址发生冲突）时，将发出此报文让DHCP服务器禁止使用这次分配的IP地址。

VI. DHCP监听绑定表中的条目可以手工添加。

VII. DHCP监听绑定表在设备重启后会丢失，需要重新绑定，但可以通过设置将绑定表保存在flash或者tftp/ftp服务器上，待设备重启后直接读取，而不需要客户端再次进行绑定VIII. 当前主流的Cisco交换机基本都支持DHCP Snooping功能。

三、DHCP Option 82当DHCP服务器和客户端不在同一个子网内时，客户端要想从DHCP服务器上分配到IP地址，就必须由DHCP中继代理（DHCP Relay Agent）来转发DHCP 请求包。

DHCP中继代理将客户端的DHCP报文转发到DHCP服务器之前，可以插入一些选项信息，以便DHCP服务器能更精确的得知客户端的信息，从而能更灵活的按相应的策略分配IP地址和其他参数。

这个选项被称为：DHCP relay agent information option（中继代理信息选项），选项号为82，故又称为option 82，相关标准文档为RFC3046。

Option 82是对DHCP选项的扩展应用。

选项82只是一种应用扩展，是否携带选项82并不会影响DHCP原有的应用。

另外还要看DHCP服务器是否支持选项82。

不支持选项82的DHCP服务器接收到插入了选项82的报文，或者支持选项82的DHCP服务器接收到了没有插入选项82的报文，这两种情况都不会对原有的基本的DHCP服务造成影响。

要想支持选项82带来的扩展应用，则DHCP 服务器本身必须支持选项82以及收到的DHCP报文必须被插入选项82信息。

从非信任端口收到DHCP请求报文，不管DHCP服务器和客户端是否处于同一子网，开启了DHCP监听功能的Cisco交换机都可以选择是否对其插入选项82信息。

默认情况下，交换机将对从非信任端口接收到的DHCP请求报文插入选项82信息。

当一台开启DHCP监听的汇聚交换机和一台插入了选项82信息的边界交换机（接入交换机）相连时：●如果边界交换机是连接到汇聚交换机的信任端口，那么汇聚交换机会接收从信任端口收到的插入选项82的DHCP报文信息，但是汇聚交换机不会为这些信息建立DHCP监听绑定表条目。

●如果边界交换机是连接到汇聚交换机的非信任端口，那么汇聚交换机会丢弃从该非信任端口收到的插入了选项82的DHCP报文信息。

但在IOS 12.2（25）SE版本之后，汇聚交换机可以通过在全局模式下配置一条ip dhcp snooping information allow-untrusted命令。

这样汇聚交换机就会接收从边界交换机发来的插入选项82的DHCP报文信息，并且也为这些信息建立DHCP监听绑定表条目。

在配置汇聚交换机下联口时，将根据从边界交换机发送过来的数据能否被信任而设置为信任或者非信任端口。

四、DHCP Snooping的配置五、显示DHCP Snooping的状态Switch#show ip dhcp snooping database //显示DHCP监听绑定数据库的相关信息Switch#show ip dhcp snooping statistics//显示DHCP监听的工作统计Switch#clear ip dhcp snooping binding //清除DHCP监听绑定表；注意：本命令无法对单一条目进行清除，只能清除所有条目Switch#clear ip dhcp snooping database statistics//清空DHCP监听绑定数据库的计数器Switch#clear ip dhcp snooping statistics //清空DHCP监听的工作统计计数器六、DHCP Snooping的实例1、单交换机（DHCP服务器和DHCP客户端位于同一VLAN）环境：Windows2003 DHCP服务器和客户端都位于vlan 10；服务器接在fa0/1，客户端接在fa0/22960交换机相关配置：ip dhcp snooping vlan 10ip dhcp snooping!interface FastEthernet0/1description : Connect to Win2003 DHCP Serverswitchport access vlan 10switchport mode accessspanning-tree portfastip dhcp snooping trust!interface FastEthernet0/2description : Connect to DHCP Clientswitchport access vlan 10switchport mode accessspanning-tree portfastip dhcp snooping limit rate 15说明：●本例中交换机对于客户端的DHCP 请求报文将插入选项82 信息；也可以通过配置no ip dhcp snooping information option命令选择不插入选项82信息。