华为S3300系列以太网交换机-DHCPSnooping

1、华为Quidway S3300交换机-DHCP Snooping配置介绍了DHCP Snooping在S-switch设备上的实现和配置方法。· 7.1 DHCP Snooping简介简要介绍DHCP Snooping的概念和类型。· 7.2 配置防止DHCP Server仿冒者攻击介绍如何配置防止DHCP Server仿冒者攻击。· 7.3 配置防止中间人与IP/MAC Spoofing攻击介绍如何配置防止中间人与IP/MAC Spoofing攻击。· 7.4 配置防止改变CHADDR值的DoS攻击介绍如何配置防止改变CHADDR值的DoS攻击。

2、83; 7.5 配置防止仿冒DHCP续租报文攻击介绍如何配置防止仿冒DHCP续租报文攻击。· 7.6 配置丢弃报文的告警介绍如何配置丢弃报文的告警。· 7.7 配置DHCP Option 82 string介绍如何配置DHCP Option 82 string。· 7.8 维护DHCP Snooping介绍如何维护DHCP Snooping。· 7.9 配置举例介绍DHCP Snooping的配置实例。7.1  DHCP Snooping简介简要介绍DHCP Snooping的概念和类型。· 7.1.1 DHCP Snoop

3、ing概述· 7.1.2 S-switch支持的DHCP Snooping· 7.1.3 配置任务的逻辑关系7.1.1  DHCP Snooping概述DHCP Snooping是一种DHCP（Dynamic Host Configuration Protocol）安全特性，通过截获DHCP Client和DHCP Server之间的DHCP报文并进行分析处理，可以过滤不信任的DHCP报文并建立和维护一个DHCP Snooping绑定表。该绑定表包括MAC地址、IP地址、租约时间、绑定类型、VLAN ID、接口信息。DHCP Snooping的作用就如同

4、在DHCP Client和DHCP Server之间建立一道防火墙。DHCP Snooping主要是解决设备应用DHCP时遇到DHCP DoS（Deny of Service）攻击、DHCP Server仿冒攻击、中间人攻击及IP/MAC Spoofing攻击的问题。为此，S-switch支持MAC地址限制、DHCP Snooping安全绑定、IP + MAC绑定、Option82字段等安全方面的功能，为在网络中应用DHCP功能提供更高的安全性。7.1.2  S-switch支持的DHCP SnoopingS-switch支持的DHCP Snooping特性包括MAC地址限

5、制、信任（Trusted）/不信任（Untrusted）、DHCP Snooping绑定表、检查DHCP报文的CHADDR字段。DHCP Snooping在S-switch上的应用如图7-1，图中S-switch使能了DHCP Snooping功能。图7-1  在S-switch上应用DHCP Snooping的典型组网 S-switch部署在DHCP Client和DHCP Relay中间，并使能了DHCP Snooping功能，如图7-1所示，S-switch只转发Trusted接口接收到的DHCP Reply报文，丢弃Untrusted接口接收到的DHCP

6、Reply报文。S-switch利用Trusted接口接收到的DHCP Reply报文生成DHCP Snooping绑定表，从Untrusted接口接收到的IP、ARP报文只有与绑定表匹配时，才被转发，否则被丢弃。S-switch支持在VLAN下配置DHCP Snooping，S-switch将检查来自指定VLAN的报文。根据不同的攻击类型，DHCP Snooping提供不同的工作模式，见表7-1。表7-1  攻击类型与DHCP Snooping工作模式对应表攻击类型DHCP Snooping工作模式DHCP饿死攻击MAC地址限制DHCP Server仿冒者攻击配置接口状态

7、为信任（Trusted）/不信任（Untrusted）中间人攻击/IP/MAC Spoofing攻击检查IP或ARP报文是否匹配DHCP Snooping绑定表改变CHADDR值的DoS攻击检查DHCP报文的CHADDR字段仿冒DHCP续租报文攻击检查DHCP Request报文是否匹配DHCP Snooping绑定表7.1.3  配置任务的逻辑关系在本章中，所有配置任务是并列关系，配置时没有先后顺序要求，可根据需要选择配置即可。7.2  配置防止DHCP Server仿冒者攻击介绍如何配置防止DHCP Server仿冒者攻击。· 7.2.1

8、建立配置任务· 7.2.2 使能全局DHCP Snooping功能· 7.2.3 使能局部DHCP Snooping功能· 7.2.4 配置Trusted接口· 7.2.5 检查配置结果7.2.1  建立配置任务应用环境如图7-2所示，当用户网络中存在DHCP Server仿冒者时，DHCP Server仿冒者回应给DHCP Client仿冒信息，如错误的网关地址、错误的DNS服务器、错误的IP地址等，从而使DHCP Client无法访问网络。图7-2  防止DHCP Server仿冒者攻击为了避免受到DHCP S

9、erver仿冒者的攻击，可以在S-switch上配置DHCP Snooping功能，把用户侧的接口配置为Untrusted模式，把运营商网络侧的接口配置为Trusted模式，凡是从Untrusted接口收到的DHCP Reply报文全部被丢弃，只转发从Trusted接口接收到的DHCP Reply报文。前置任务在配置防止DHCP Server仿冒者通过S-switch攻击的功能之前，需完成以下任务：· 配置DHCP Server· 配置DHCP Relay 说明：DHCP Server和DHCP Relay均在S-switch的上游路由器或服务器上配置。数据准备在

10、配置防止DHCP Server仿冒者通过S-switch攻击的功能之前，需准备以下数据。序号数据1加入VLAN的接口名称2接口所属的VLAN ID3配置为信任状态的接口名称7.2.2  使能全局DHCP Snooping功能背景信息请在S-switch上进行如下配置。操作步骤1. 执行命令system-view，进入系统视图。2. 执行命令dhcp snooping enable，使能全局DHCP Snooping功能。缺省情况下，DHCP Snooping功能为禁止状态。7.2.3  使能局部DHCP Snooping功能背景信息在

11、S-switch上进行如下配置。操作步骤1. 执行命令system-view，进入系统视图。2. 执行命令vlan vlan-id，进入VLAN视图。3. 执行命令dhcp snooping enable，使能VLAN下的DHCP Snooping功能。缺省情况下，DHCP Snooping功能为禁止状态。7.2.4  配置Trusted接口背景信息在S-switch上进行如下配置。操作步骤1. 执行命令system-view，进入系统视图。2. 执行命令vlan vlan-id，进入VLAN视图。该VLAN应为网络侧接口（即连接DH

12、CP Server的接口）所属VLAN。3. 执行命令dhcp snooping trusted interface interface-type interface-number，配置DHCP Server所在的“VLAN+接口”为Trusted状态。7.2.5  检查配置结果完成上述配置后，请执行下面的命令检查配置结果。操作命令查看全局DHCP Snooping的信息display dhcp snooping global查看Trusted接口信息display this执行display dhcp snooping global

13、命令，可以看到使能了全局DHCP Snooping功能。<Quidway> display dhcp snooping globaldhcp snooping enable在相应的VLAN视图下执行display this命令，可以看到Trusted接口信息。<Quidway> system-viewQuidway vlan 10Quidway-vlan10 display this#vlan 10 dhcp snooping enable dhcp snooping trusted interface GigabitEthernet0/0/2#return7.3

14、60; 配置防止中间人与IP/MAC Spoofing攻击介绍如何配置防止中间人与IP/MAC Spoofing攻击。· 7.3.1 建立配置任务· 7.3.2 使能全局DHCP Snooping功能· 7.3.3 使能局部DHCP Snooping功能· 7.3.4 使能报文的检查功能· 7.3.5 配置DHCP Snooping绑定表· 7.3.6 配置Option82功能· 7.3.7 配置端口安全功能· 7.3.8 检查配置结果7.3.1  建立配置任务应用环境当网络中存在中间

15、人或者IP/MAC Spoofing攻击时，攻击者仿冒DHCP Server和DHCP Client，从而使真正的DHCP Server和DHCP Client通过其交换数据。如图7-3所示，Middle-Man通过发送IP或ARP报文，让DHCP Server学到DHCP Client的IP地址10.1.1.3和自己的MAC地址0000-005e-008b。在DHCP Server看来，所有的报文都是来自或者发往DHCP Client，而实际上所有的报文都经过Middle-Man处理。Middle-Man再发送IP或ARP报文，让DHCP Client学到DHCP Server的IP地址10

16、.2.1.1和自己的MAC地址0000-005e-008b。在DHCP Client看来，所有的报文也都是来自或者发往DHCP Server，而实际上所有的报文都经过Middle-Man处理。这样Middle-Man就可以达到仿冒DHCP Server和DHCP Client的目的，从而获得DHCP Server和DHCP Client之间交互的信息。图7-3  配置防止中间人与IP/MAC Spoofing攻击 为了避免受到中间人或IP/MAC Spoofing攻击，可以在S-switch上配置DHCP Snooping功能，使用DHCP Snooping绑定功

17、能，只有接收到的报文的信息和绑定表中的内容一致才会被转发，否则报文将被丢弃。前置任务在配置防止中间人与IP/MAC Spoofing攻击者通过S-switch攻击的功能之前，需完成以下任务：· 配置DHCP Server· 配置DHCP Relay 说明：DHCP Server和DHCP Relay均在S-switch的上游路由器或服务器上配置。数据准备在配置防止中间人与IP/MAC Spoofing攻击者通过S-switch攻击的功能之前，需准备以下数据。序号数据1加入VLAN的接口名称2接口所属的VLAN ID3允许转发的静态IP地址7.3.2 &#

18、160;使能全局DHCP Snooping功能背景信息请在S-switch上进行如下配置。操作步骤1. 执行命令system-view，进入系统视图。2. 执行命令dhcp snooping enable，使能全局DHCP Snooping功能。缺省情况下，DHCP Snooping功能为禁止状态。7.3.3  使能局部DHCP Snooping功能背景信息在S-switch上进行如下配置。操作步骤1. 执行命令system-view，进入系统视图。2. 执行命令vlan vlan-id，进入VLAN视图。3. 执行命令dhcp sn

19、ooping enable，使能VLAN下的DHCP Snooping功能。缺省情况下，DHCP Snooping功能为禁止状态。7.3.4  使能报文的检查功能背景信息在S-switch上进行如下配置。操作步骤1. 执行命令system-view，进入系统视图。2. 执行命令interface interface-type interface-number，进入Ethernet接口、GigabitEthernet接口或Eth-Trunk接口。该接口应为用户侧接口。3. 执行命令dhcp snooping check arp enable alarm a

20、rp enable，使能对ARP报文检查的功能。4. 执行命令dhcp snooping check ip enable alarm ip enable，使能对IP报文检查的功能。5. 执行命令dhcp snooping check dhcp-chaddr enable alarm dhcp-chaddr enable，使能对客户端发送过来的DHCP报文检查的功能。6. 执行命令dhcp snooping check dhcp-request enable alarm dhcp-request enable，使能对客户端发送过来的DHCP报文检查的功能。7. 执行命令dhcp snooping

21、 check dhcp-rate enable rate rate-value alarm dhcp-rate enable threshold threshold-value，使能S-switch对DHCP报文上送到DHCP协议栈的速率的检查，配置S-switch对DHCP报文上送到DHCP协议栈的检查速率。缺省情况下，禁止DHCP报文上送到DHCP协议栈的速率检查。上送DHCP报文到S-switch设备CPU的检查速率为100个/秒。7.3.5  配置DHCP Snooping绑定表背景信息在S-switch上进行如下配置。操作步骤1. 执

22、行命令system-view，进入系统视图。2. 执行命令vlan vlan-id，进入VLAN视图。该VLAN应为用户侧接口所属VLAN。3. 执行命令dhcp snooping bind-table static ip-address ip-address mac-address mac-address interface interface-type interface-number，配置IP与MAC绑定表的静态表项。静态绑定表包含如下信息：MAC地址、IP地址、VLAN号和接口信息。若用

23、户使用静态IP地址接入网络，则用户报文中的MAC地址、IP地址、VLAN号和接收该报文的接口信息必须与静态绑定匹配，用户报文才能被S-switch转发，否则用户报文将被丢弃。如果分配给用户的IP为静态IP地址，那么可以配置这些IP地址的静态绑定表项，如果没有配置DHCP Snooping绑定表中的静态表项，则所有的静态用户的报文都会被丢弃。所有的静态用户都不可以访问DHCP Server。DHCP Snooping绑定表中的动态表项不需配置，使能DHCP Snooping功能即可自动生成。但静态表项需要通过命令配置。 说明：· 对于动态分配给用户的IP地址，S-switch

24、会自动学习用户的MAC地址并建立绑定关系表，此时不需要配置绑定表。· 对于静态分配给用户的IP地址，S-switch不会自动学习用户的MAC地址，也不能建立绑定关系表，所以需要手动建立绑定关系表。接口收到ARP或者IP报文后，就用ARP或者IP报文中的源MAC、源IP、VLAN信息以及接受到该报文的接口去匹配DHCP Snooping绑定表。· 不匹配就丢弃该报文。· 完全匹配报文就被正常转发。7.3.6  配置Option82功能背景信息在S-switch上进行如下配置。操作步骤1. 执行命令system-view，进入系统视图。2. 执行命

25、令vlan vlan-id，进入VLAN视图。该VLAN应为用户侧接口所属VLAN。3. 执行命令dhcp option82 insert enable interface interface-type interface-number1  to interface-number2 ，使能“VLAN+接口”下插入Option82功能。执行dhcp option82 insert enable interface命令后，如果从指定的接口接收到的DHCP报文中没有option82选项，则插入option82选项；如果接收到的DHCP报文中

26、已有option82选项，则不对DHCP报文进行处理。4. （可选）执行命令dhcp option82 rebuild enable interface interface-type interface-number1  to interface-number2 ，使能“VLAN+接口”下强制插入Option82功能。缺省情况下，强制插入Option82功能为禁止状态。由于DHCP Reply报文是广播报文，S-switch设备无法判断报文回应给哪个接口，也就无法建立精确到接口的DHCP Snooping

27、动态绑定表项。为了防止攻击者伪造Option82选项，可以使能强制插入Option82选项功能。使能强制插入Option82选项功能后，如果原来的DHCP Discovery报文中没有Option82选项，则在报文中插入Option82选项；如果原来的DHCP Discovery报文中有Option82选项，则去掉原报文中的Option82选项，插入新的Option82选项。7.3.7  配置端口安全功能背景信息在S-switch上进行如下配置操作步骤1. 执行命令system-view，进入系统视图。2. 执行命令mac-address restrict，使能设备的MAC

28、地址学习限制和接口转发限制功能。3. 执行命令mac-table limit interface-type interface-number limit-number，配置MAC地址学习数量限制。4. 执行命令interface interface-type interface-number，进入接口视图。5. 执行命令port-security enable，使能接口的安全保护功能。缺省情况下，S-switch设备的MAC地址学习限制功能和接口转发限制功能处于禁止状态。不限制接口学习MAC表项和静态MAC的数量，设备的接口安全保护功能未使能。7.3.8 

29、0;检查配置结果完成上述配置后，请执行下面的命令检查配置结果。操作命令查看全局DHCP Snooping的信息display dhcp snooping global查看DHCP Snooping绑定表的信息display dhcp snooping bind-table  all | dynamic | ip-address ip-address | mac-address mac-address | static| vlan vlan-id 

30、 interface interface-type interface-number  查看Option82的使能标记display dhcp option82 vlan vlan-id  interface interface-type interface-number 执行display dhcp snooping global命令，可以看到使能了全局DHCP Snooping功能。<Quidway> display dhcp snooping global

31、dhcp snooping enable执行display dhcp snooping bind-table命令，可以看到创建的静态DHCP Snooping表项。<Quidway> display dhcp snooping bind-table ip-address 10.1.1.1bind-table:ifname vrf vsi p/cvlan mac-address ip-address tp lease-GE0/0/1 0000-0020/0000 003e-0001-0001 010.001.001.001 S 0-binditem co

32、unt: 1 binditem total count: 1执行display dhcp option82命令，可以看到Option82的使能标记。<Quidway> display dhcp option82 vlan 20 interface gigabitethernet 0/0/1 dhcp option82 rebuild enable interface GigabitEthernet0/0/17.4  配置防止改变CHADDR值的DoS攻击介绍如何配置防止改变CHADDR值的DoS攻击。· 7.4.1 建立配置任务&#

33、183; 7.4.2 使能全局DHCP Snooping功能· 7.4.3 使能局部DHCP Snooping功能· 7.4.4 使能对DHCP Request报文的CHADDR检查功能· 7.4.5 检查配置结果7.4.1  建立配置任务应用环境如图7-4所示，攻击者不断变换MAC地址，尝试申请一个DHCP域中所有的IP地址，直到耗尽DHCP Server地址池中的IP地址，导致其他正常用户无法获得IP地址。通过MAC地址限制方法，可以防止饿死攻击，即限制S-switch接口上允许学习到的最多MAC地址数目，防止用户通过变换MAC地址，大量发

34、送DHCP请求。图7-4  防止改变CHADDR值的DoS攻击若攻击者改变的不是数据帧头部的源MAC地址，而是改变DHCP报文中的CHADDR（Client Hardware Address）值来不断申请IP地址。如果S-switch仅根据数据帧头部的源MAC地址来判断该报文是否合法，那么MAC地址限制方案不能起作用，这样的攻击报文还是可以被正常转发。为了避免受到攻击者改变CHADDR值的攻击，可以在S-switch上配置DHCP Snooping功能，检查DHCP Request报文中CHADDR字段。如果该字段跟数据帧头部的源MAC地址相匹配，便转发报文；否则，丢弃报文

35、。前置任务在配置防止改变CHADDR值的DoS攻击的功能之前，需完成以下任务：· 配置DHCP Server· 配置DHCP Relay 说明：DHCP Server和DHCP Relay均在S-switch的上游路由器或服务器上配置。数据准备在配置防止改变CHADDR值的DoS攻击的功能之前，需准备以下数据。序号数据1加入VLAN的接口名称2接口所属的VLAN ID7.4.2  使能全局DHCP Snooping功能背景信息请在S-switch上进行如下配置。操作步骤1. 执行命令system-view，进入系统视图。2. 执行命令dhcp&

36、#160;snooping enable，使能全局DHCP Snooping功能。缺省情况下，DHCP Snooping功能为禁止状态。配置DHCP Snooping功能前，必需使能全局DHCP Snooping功能，否则无法进行其它DHCP Snooping配置。7.4.3  使能局部DHCP Snooping功能背景信息请在S-switch上进行如下配置。操作步骤1. 执行命令system-view，进入系统视图。2. 执行命令vlan vlan-id，进入VLAN视图。3. 执行命令dhcp snooping enable，使能

37、VLAN下的DHCP Snooping功能。缺省情况下，DHCP Snooping功能为禁止状态。7.4.4  使能对DHCP Request报文的CHADDR检查功能背景信息在S-switch上进行如下配置。操作步骤1. 执行命令system-view，进入系统视图。2. 执行命令interface interface-type interface-number，进入Ethernet接口、GigabitEthernet接口或Eth-Trunk接口。该接口应为用户侧接口。3. 执行命令dhcp snooping check dhcp-chaddr enable a

38、larm dhcp-chaddr enable threshold，使能接口对DHCP Request报文CHADDR字段的检查功能，对接口接收到的报文进行检查。缺省情况下，CHADDR值检查功能为禁止状态。7.4.5  检查配置结果完成上述配置后，请执行下面的命令检查配置结果。操作命令查看全局DHCP Snooping的信息display dhcp snooping global查看接口上的DHCP Snooping信息display dhcp snooping interface interface-type interface-number执行display

39、 dhcp snooping global命令，可以看到使能了全局DHCP Snooping功能。<Quidway> display dhcp snooping global dhcp snooping enable执行display dhcp snooping interface命令，可以看到接口上的DHCP Snooping配置信息。<Quidway> display dhcp snooping interface gigabitethernet 0/0/1 dhcp snooping check dhcp-chaddr enable arp t

40、otal 0 ip total 0 dhcp-rate-drop total 0 dhcp-request total 0 chaddr&src mac total 0 dhcp-reply total 07.5  配置防止仿冒DHCP续租报文攻击介绍如何配置防止仿冒DHCP续租报文攻击。· 7.5.1 建立配置任务· 7.5.2 使能全局DHCP Snooping功能· 7.5.3 使能局部DHCP Snooping功能· 7.5.4 使能对DHCP Request报文的检查功能· 7.5.5 配置Option82

41、功能· 7.5.6 检查配置结果7.5.1  建立配置任务应用环境如图7-5所示，攻击者通过不断发送DHCP Request报文来冒充用户续租IP地址，这样一方面会导致一些到期的IP地址无法正常回收，另外也不是用户的真实意图。图7-5  防止仿冒DHCP续租报文攻击 为了避免攻击者仿冒DHCP续租报文进行攻击，可以在S-switch上配置DHCP Snooping功能，检查DHCP Request报文的源IP地址和源MAC地址：· 如果在DHCP Snooping绑定表中找不到与源IP地址匹配的表项，则DHCP Reques

42、t报文被正常转发。· 如果在DHCP Snooping绑定表中找到与源IP地址匹配的表项，但源MAC地址不匹配，则DHCP Request报文被丢弃。前置任务在配置防止仿冒DHCP续租报文攻击的功能之前，需完成以下任务：· 配置DHCP Server· 配置DHCP Relay 说明：DHCP Server和DHCP Relay均在S-switch的上游路由器或服务器上配置。数据准备在配置防止仿冒DHCP续租报文攻击的功能之前，需准备以下数据。序号数据1加入VLAN的接口名称2接口所属的VLAN ID3允许转发的静态IP地址7.5.2 

43、0;使能全局DHCP Snooping功能背景信息请在S-switch上进行如下配置。操作步骤1. 执行命令system-view，进入系统视图。2. 执行命令dhcp snooping enable，使能全局DHCP Snooping功能。缺省情况下，DHCP Snooping功能为禁止状态。配置DHCP Snooping功能前，必需使能全局DHCP Snooping功能，否则无法进行其它DHCP Snooping配置。7.5.3  使能局部DHCP Snooping功能背景信息请在S-switch上进行如下配置。操作步骤1. 执行命令system-v

44、iew，进入系统视图。2. 执行命令vlan vlan-id，进入VLAN视图。3. 执行命令dhcp snooping enable，使能VLAN下的DHCP Snooping功能。缺省情况下，DHCP Snooping功能为禁止状态。7.5.4  使能对DHCP Request报文的检查功能背景信息在S-switch上进行如下配置。操作步骤1. 执行命令system-view，进入系统视图。2. 执行命令interface interface-type interface-number，进入Ethernet接口、Eth-Trunk接口。该接口应为用户

45、侧接口。3. 执行命令dhcp snooping check dhcp-request enable alarm dhcp-request enable threshold，配置接口下的DHCP Request报文检查功能。缺省情况下，DHCP Request报文检查功能为禁止状态。7.5.5  配置Option82功能背景信息在S-switch上进行如下配置。操作步骤1. 执行命令system-view，进入系统视图。2. 执行命令vlan vlan-id，进入VLAN视图。该VLAN应为用户侧接口所属VLAN。3. 执行命令dhcp option82 inse

46、rt enable interface interface-type interface-number1  to interface-number2 ，使能“VLAN+接口”下插入Option82功能。执行dhcp option82 insert enable interface命令后，如果从指定的接口接收到的DHCP报文中没有option82选项，则插入option82选项；如果接收到的DHCP报文中已有option82选项，则不对DHCP报文进行处理。4. （可选）执行命令dhcp option82 rebuild

47、60;enable interface interface-type interface-number1  to interface-number2 ，使能“VLAN+接口”下强制插入Option82功能。缺省情况下，强制插入Option82功能为禁止状态。由于DHCP Reply报文是广播报文，S-switch设备无法判断报文回应给哪个接口，也就无法建立精确到接口的DHCP Snooping动态绑定表项。为了防止攻击者伪造Option82选项，可以使能强制插入Option82选项功能。使能强制插入Option82选项功能后，如果原来

48、的DHCP Discovery报文中没有Option82选项，则在报文中插入Option82选项；如果原来的DHCP Discovery报文中有Option82选项，则去掉原报文中的Option82选项，插入新的Option82选项。7.5.6  检查配置结果完成上述配置后，请执行下面的命令检查配置结果。操作命令查看全局DHCP Snooping的信息display dhcp snooping global查看接口上的DHCP Snooping信息display dhcp snooping interface interface-ty

49、re interface-number 查看Option82的使能标记display dhcp option82 vlan vlan-id  interface interface-type interface-number 执行display dhcp snooping global命令，可以看到使能了全局DHCP Snooping功能。<Quidway> display dhcp snooping global dhcp snooping enable执行display 

50、;dhcp snooping interface命令，可以看到接口上的DHCP Snooping配置信息。<Quidway> display dhcp snooping interface gigabitethernet 0/0/1 dhcp snooping check dhcp-request enable arp total 0 ip total 0 dhcp-rate-drop total 0 dhcp-request total 0 chaddr&src mac total 0 dhcp-reply total 0执行display dhcp&

51、#160;option82命令，可以看到Option82的使能标记。<Quidway> display dhcp option82 vlan 20 interface gigabitethernet 0/0/1 dhcp option82 rebuild enable interface GigabitEthernet0/0/17.6  配置丢弃报文的告警介绍如何配置丢弃报文的告警。· 7.6.1 建立配置任务· 7.6.2 配置丢弃报文告警· 7.6.3 检查配置结果7.6.1  建立配置任务应用环境配置DHC

52、P Snooping功能后，S-switch设备将丢弃攻击者发送的报文，其中攻击类型和丢弃报文种类的对应关系如表7-2所示：表7-2  攻击类型和丢弃报文种类的对应关系攻击类型丢弃报文类型仿冒者攻击Untrusted接口收到的DHCP Reply报文中间人和IP/MAC Spoofing攻击与DHCP Snooping绑定表不匹配的IP报文、ARP报文改变CHADDR值攻击CHADDR字段与源MAC地址不一致的DHCP Request报文仿冒DHCP续租报文攻击与DHCP Snooping绑定表不匹配的DHCP Request报文发送DHCP Request报文攻击超出速率

53、限制的报文使能丢弃报文告警功能后，S-switch丢弃报文的数量达到告警阈值后会产生告警信息。前置任务在配置丢弃报文的告警功能之前，需完成以下任务：· 配置DHCP Server· 配置DHCP Relay· 配置丢弃用户侧Untrusted接口的DHCP Reply报文· 配置ARP、IP、DHCP Request报文检查功能· 配置检查DHCP Request报文中的CHADDR字段功能· 配置检查DHCP报文的上送速率 说明：DHCP Server和DHCP Relay均在S-switch的上游路由器或服务器上配置。数

54、据准备在配置丢弃报文告警功能之前，需准备以下数据。序号数据1丢弃ARP报文后产生告警的阈值2丢弃IP报文后产生告警的阈值3丢弃DHCP CHADDR报文后产生告警的阈值4丢弃DHCP Reply报文后产生告警的阈值5丢弃DHCP Request报文后产生告警的阈值7.6.2  配置丢弃报文告警背景信息在S-switch上进行如下配置。操作步骤1. 执行命令system-view，进入系统视图。2. 执行命令interface interface-type interface-number，进入接口视图。3. 执行命令dhcp snooping check arp

55、enable alarm arp enable，使能接口丢弃ARP报文告警功能，配置接口下丢弃报文的告警阈值。4. 执行命令dhcp snooping check dhcp-chaddr enable alarm dhcp-chaddr enable，使能接口丢弃DHCP Request报文告警功能，配置接口下丢弃报文的告警阈值。5. 执行命令dhcp snooping alarm dhcp-reply enable threshold，使能接口丢弃DHCP Reply报文告警功能，配置接口下丢弃报文的告警阈值。6. 执行命令dhcp snooping check dhcp-request e

56、nable alarm dhcp-request enable，使能接口丢弃DHCP Request报文告警功能，配置接口下丢弃报文的告警阈值。7. 执行命令dhcp snooping check ip enable alarm ip enable，使能接口丢弃IP报文告警功能，配置接口下丢弃报文的告警阈值。8. 执行命令dhcp snooping check dhcp-rate enable rate rate-value alarm dhcp-rate enable threshold threshold-value，使能DHCP报文上送到DHCP协议栈的检查

57、速率的告警功能，配置DHCP报文上送到DHCP协议栈的速率的告警阈值。7.6.3  检查配置结果完成上述配置后，请执行下面的命令检查配置结果。操作命令查看全局DHCP Snooping的信息display dhcp snooping global查看接口上的DHCP Snooping信息display dhcp snooping interface interface-type interface-number执行display dhcp snooping global命令，可以看到使能了全局DHCP Snooping功能。<Q

58、uidway> display dhcp snooping globaldhcp snooping enable执行display dhcp snooping interface命令，可以看到接口上的DHCP Snooping信息。<Quidway> display dhcp snooping interface gigabitethernet 0/0/1 dhcp snooping check arp enable dhcp snooping alarm arp enabledhcp snooping alarm arp threshold 50 arp

59、 total 0 ip total 0 dhcp-rate-drop total 0 dhcp-request total 0 chaddr&src mac total 0 dhcp-reply total 07.7  配置DHCP Option 82 string介绍如何配置DHCP Option 82 string。· 7.7.1 配置Option 82的存储格式· 7.7.2 在系统视图下配置Option 82中Circuit ID的内容· 7.7.3 在接口视图下配置Option 82中Circuit ID的内容· 7

60、.7.4 在系统视图下配置Option 82中Remote ID的内容· 7.7.5 在接口视图下配置Option 82中Remote ID的内容· 7.7.6 检查配置结果7.7.1  配置Option 82的存储格式背景信息请在S-switch上进行如下配置。操作步骤1. 执行命令system-view，进入系统视图。2. 执行命令dhcp snooping enable,使能S-switch的DHCP snooping功能。缺省情况下，S-switch的DHCP snooping功能处于关闭状态。3. 执行命令dhcp snooping information format  hex | ascii ，配置Option 82的存储格式。缺省情况下，交换机对Option 82的存储格式为hex。7.7.2  在系统视图下配置Option 82中Circuit ID的内容背景信息在S-switch上进行如下配置。操作步骤1. 执行命令system-view，进入系统视图。2. 执行命令dhcp snooping information circuit-id string string，配置Option 82中的Circuit