华为交换机DHCPsnooping配置教程

1、华为交换机DHCP snooping配置教程DHCP Snooping是一种DHCP安全特性，在配置DHCP Snooping各安 全功能之前需首先使能DHCP Snooping功能。使能DHCP Snooping功能的顺序是先使能全局下的DHCP Snooping功能， 再使能接口或VLAN下的DHCP Snooping功能。图1配置DHCP Snooping基本功能组网图如上图1所示，Switch_1是二层接入设备，将用户PC的DHCP请求转发给DHCP服务器。以Switch_1为例，在使能DHCP Snooping功能时需要注意： 使能DHCP Snooping功能之前，必须已使用命令d

2、hcp enable 使能了设备 的DHCP功能。全局使能DHCP Snooping功能后，还需要在连接用户的接口（如图中的接 口 if1、if2 和 if3）或其所属 VLAN（如图中的 VLAN 10）使能 DHCP Snooping 功能。当存在多个用户PC属于同一个VLAN时，为了简化配置，可以在这个VLAN 使能 DHCP Snooping 功能。请在二层网络中的接入设备或第一个DHCP Relay上执行以下步骤。1 使能 DHCP Snooping 功能Huaweidhcp snooping enable ?ipv4 DHCPv4 Snoopingipv6 DHCPv6 Snoop

3、ingvlan Virtual LAN或Huaweidhcp snooping over-vpls enable # 使能设备在 VPLS 网络中的DHCP Snooping 功能或Huawei-vlan2dhcp snooping enableHuawei-GigabitEthernet0/0/3dhcp snooping enable配接口信任状态Huawei-GigabitEthernet0/0/2dhcp snooping trusted或Huawei-vlan3dhcp snooping trusted interface GigabitEthernet 0/0/6去使能DHCP S

4、nooping用户位迁移功能在移动应用场景中，若某一用户由接口 A上线后，切换到接口 B重新上线， 用户将发送DHCP Discover报文申请IP地址。缺省情况下设备使能DHCP Snooping功能之后将允许该用户上线，并刷新 DHCP Snooping 绑定表。但是在某些场景中，这样的处理方式存在安全风险，比如网络中存在攻击者仿 冒合法用户发送DHCP Discover报文，最终导致DHCP Snooping绑定表被刷 新，合法用户网络访问中断。此时需要去使能DHCP Snooping用户位置迁移功能，丢弃DHCP Snooping 绑定表中已存在的用户（用户MAC信息存在于DHCP S

5、nooping绑定表中）从 其他接口发送来的DHCP Discover报文。Huaweiundo dhcp snooping user-transfer enable4,配置ARP与DHCP Snooping的联动功能DHCP Snooping设备在收到DHCP用户发出的DHCP Release报文时将会 删除该用户对应的绑定表项，但若用户发生了异常下线而无法发出DHCP Release报文时，DHCP Snooping设备将不能够及时的删除该DHCP用户对 应的绑定表。使能ARP与DHCP Snooping的联动功能，如果DHCP Snooping表项中 的IP地址对应的ARP表项达到老化时

6、间，则DHCP Snooping设备会对该IP 地址进行ARP探测，如果在规定的探测次数探测不到用户，设备将删除用户对 应的ARP表项。之后，设备将会再次按规定的探测次数对该IP地址进行ARP 探测，如果最后仍不能够探测到用户，则设备将会删除该用户对应的绑定表项。只有设备作为DHCP Relay时，才支持ARP与DHCP Snooping的联动功 能。5配置用户下线后及时清除对应MAC表项功能当某一 DHCP用户下线时，设备上其对应的动态MAC表项还未达到老化时 间，则设备在接收到来自网络侧以该用户IP地址为目的地址的报文时，将继续 根据动态MAC表项转发此报文。这种无效的报文处理在一定程度上

7、将会降低设备的性能。设备在接收到DHCP用户下线时发送DHCP Release报文后，将会立刻删除 用户对应的DHCP Snooping绑定表项。利用这种特性，使能当DHCP Snooping动态表项清除时移除对应用户的MAC表项功能，则当用户下线时， 设备将会及时的移除用户的MAC表项。Huaweidhcp snooping user-offline remove mac-address6、配置丢弃GIADDR字段非零的DHCP报文DHCP 报文中的 GIADDR( Gateway Ip Address)字段记录了 DHCP 报文 经过的第一个DHCP Relay的IP地址，当客户端发出DH

8、CP请求时，如果服务 器和客户端不在同一个网段，那么第一个DHCP Relay在将DHCP请求报文转 发给DHCP服务器时，会把自己的IP地址填入此字段，DHCP服务器会根据此 字段来判断出客户端所在的网段地址，从而选择合适的地址池，为客户端分配该 网段的IP地址。图1多DHCP中继场景下DHCP报文处理流程（以DHCP Request 报文为例）如上图1所示，在为了保证设备在生成DHCP Snooping绑定表时能够获取 到用户MAC等参数，DHCP Snooping功能需应用于二层网络中的接入设备或 第一个DHCP Relay上（如图中的DHCP Relay1设备）。故DHCP Snoop

9、ing设备接收到的DHCP报文中GIADDR字段必然为零， 若不为零则该报文为非法报文，设备需丢弃此类报文。在DHCP中继使能DHCP Snooping场景中，建议配置该功能。通常情况下，PC发出的DHCP报文中GIADDR字段为零。在某些情况下， PC发出的DHCP报文中GIADDR字段不为零，可能导致DHCP服务器分配错 误的IP地址。为了防止PC用户伪造GIADDR字段不为零的DHCP报文申请IP地址，建议配置该功能。Huaweidhcp snooping check dhcp-giaddr enable vlanINTEGER Virtual LAN ID或Huawei-vlan5dh

10、cp snooping check dhcp-giaddr enableHuawei-GigabitEthernet0/0/2dhcp snoopingenable使能 DHCP Server 探在使能DHCP Snooping功能并配置了接口的信任状态之后，设备将能够保 证客户端从合法的服务器获取IP地址，这将能够有效的防止DHCP Server仿冒者攻击。但是此时却不能够定位DHCP Server仿冒者的位置，使得网络中仍然存在着 安全隐患。通过配置DHCP Server探测功能，DHCP Snooping设备将会检查并在日志 中记录所有DHCP回应报文中携带的DHCP Server地址与

11、接口等信息，此后网 络管理员可根据日志来判定网络中是否存在伪DHCP Server进而对网络进行维 护。Huaweidhcp server detect8,防止DHCP报文泛洪攻击在DHCP网络环境中，若存在DHCP用户短时间向设备发送大量的DHCP 报文，将会对设备的性能造成巨大的冲击以致可能会导致设备无常工作。通过使 能对DHCP报文上送DHCP报文处理单元的速率进行检测功能将能够有效防止 DHCP报文泛洪攻击。8.1、使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能 Huawei-vlan3dhcp snooping check dhcp-rate enable # 接口视图

12、下命 令一样Huaweidhcp snooping check dhcp-rate enableINTEGER Rate value (Unit:pps)alarmAlarmvlanVirtual LAN8.2、DHCP报文上送DHCP报文处理单元的最大允许速率Huawei-vlan3dhcp snooping check dhcp-rate ?INTEGER Rate value (Unit:pps)enable EnableHuawei-vlan3dhcp snooping check dhcp-rate 808.3、使能当丢弃的DHCP报文数达到告警阈值时的告警功能Huawei-Giga

13、bitEthernet0/0/2dhcp snooping alarm dhcp-rate enable8.4、配置接口下被丢弃的DHCP报文的告警阈值Huawei-GigabitEthernet0/0/2dhcp snooping alarm dhcp-rate threshold ?INTEGER Threshold value (Unit:packets)9、防止仿。职？报文攻击在DHCP网络环境中，若攻击者仿冒合法用户的DHCP Request报文发往DHCP Server，将会导致用户的IP地址租约到期之后不能够及时释放，以致合 法用户无法使用该IP地址；若攻击者仿冒合法用户的DHC

14、P Release报文发往 DHCP Server，将会导致用户异常下线。在生成DHCP Snooping绑定表后，设备可根据绑定表项，对DHCP Request 报文或DHCP Release报文进行匹配检查，只有匹配成功的报文设备才将其转 发，否则将丢弃。这将能有效的防止非法用户通过发送伪造DHCP Request或DHCP Release 报文冒充合法用户续租或释放IP地址。9.1、使能对从指定VLAN上送的DHCP报文进行绑定表匹配检查的功能 Huaweidhcp snooping check dhcp-request enable vlan ?INTEGER Virtual LAN

15、ID或Huawei-GigabitEthernet0/0/2dhcp snooping check dhcp-request enable9.2、使能与绑定表不匹配而被丢弃的DHCP报文数达到阈值时的DHCPSnooping告警功能Huawei-GigabitEthernet0/0/2dhcp snooping alarm dhcp-request enable9.3、DHCP Snooping丢弃报文数量的告警阈值。Huaweidhcp snooping alarm threshold ?INTEGER Threshold value (Unit:packets)9.4、与绑定表不匹配而被丢

16、弃的DHCP报文的告警阈值Huawei-GigabitEthernet0/0/2dhcp snooping alarm dhcp-request threshold ?INTEGER Threshold value (Unit:packets)10,防止DHCP Server服务拒绝攻击若在网络中存在DHCP用户恶意申请IP地址，将会导致IP地址池中的IP地 址快速耗尽以致DHCP Server无法为其他合法用户分配IP地址。另一方面，DHCP Server通常仅根据 CHADDR( client hardware address , 客户端硬件地址)字段来确认客户端的MAC地址。如果攻击者通

17、过不断改变 DHCP Request报文中的CHADDR字段向DHCP Server申请IP地址，将会导 致DHCP Server上的地址池被耗尽，从而无法为其他正常用户提供IP地址。为了防止某些端口的DHCP用户恶意申请IP地址，可配置接口允许学习的 DHCP Snooping绑定表项的最大个数来控制上线用户的个数，当用户数达到该 值时，则任何用户将无法通过此接口成功申请到IP地址。为了防止攻击者不断改变DHCP Request报文中的CHADDR字段进行攻击， 可使能检测DHCP Request报文帧头MAC地址与DHCP数据区中CHADDR 字段是否相同的功能，相同则转发报文，否则丢弃。

18、10.1、设备允许学习的DHCP Snooping绑定表项的最大个数Huaweidhcp snooping max-user-number ?INTEGER Max user number valueHuaweidhcp snooping max-user-number 20 vlan Virtual LAN Huaweidhcp snooping max-user-number 20 vlan ?INTEGER Virtual LAN ID或Huawei-GigabitEthernet0/0/2dhcp snooping max-user-numberINTEGER Max user num

19、ber value10.2、DHCP Snooping绑定表的告警阈值百分比Huawei dhcp snooping user-alarmpercentage percent-lower-valuepercent-upper-value10.3、接口允许学习的DHCP Snooping绑定表项的最大个数。Huawei-GigabitEthernet0/0/2dhcp snooping max-user-numberINTEGER Max user number value或Huawei-vlan2dhcp snooping max-user-number ?INTEGER Max user n

20、umber value10.4、使能检测DHCP Request报文帧头MAC与DHCP数据区中CHADDR 字段是否一致功能Huaweidhcp snooping check dhcp-chaddr enable vlan ?INTEGER Virtual LAN ID或Huawei-GigabitEthernet0/0/2dhcp snooping check dhcp-chaddr enable ?alarm Alarm或Huawei-vlan2dhcp snooping check dhcp-chaddr enable10.5、帧头MAC地址与DHCP数据区中CHADDR字段不匹配而被

21、丢弃的DHCP报文的告警阈值Huawei-GigabitEthernet0/0/2dhcp snooping alarm dhcp-chaddr threshold ?INTEGER Threshold value (Unit:packets)11、在DHCP报文中添加0?首。湖2字段甘宙 DHCP Serve 感&渐妈四 DHCP 丑 Fsa都普ffiKFMnHF、如曰fflDHCP 期毋阙君 Opi-on82 N。Opi_on82 济IBC1J知 7 DHCP C一一兽-sa哪a疝，沛aaafflDHCPa舟期)4患渤君 Opi_on82 济1冲旦炳 cp n- s gF哩* 游藜 DHC

22、P Server、w3宙揄 cp Server 瞟&命ffl0pi982 济 ass DHCP c=e2.HD磷sffisw脸述。DHCP Opi_on82 DHCP Server 游 EESDHCPa5)4T 访Opi_on82 济s明。11.1，fflDHCPasw患渤君 Opi_on82 济ss瞟IuawQv-ansdhcp 0p-l-0n82 7-nsert Insert Opi-on82 -a.。DHCP packers #ffi rebu=d Rebu=d Opi-on82 -nr-l-he DHCP packers # IuawQv-ansdhcp 0p-l-0n82 -nser

23、t 7 enab-e Enab-eIuawQG-gab 一iE1:heme8AV2Jdhcp Opi-on82 7 c-rcur-d DHCP Opi-on82 subopi-on Qrcu 一 i ID formal: The formal: of DHCP Opi-on82 -nsert Insert Opi-on82 -a.。DHCP packers rebu=d Rebu=d Opi-on82 .5 ihe DHCP packersremote-id DHCP option82 sub-option Remote IDvlan Virtual LANHuawei-GigabitEthernet0/0/2dhcp option82 rebuild ?enable Enable11.2、配置Option82选项的格式Huawei-GigabitEthernet0/0/2dhcp option82 vlan 3 circuit-id format ?common Common format.Circuit-ID:%iftype%slot/%subslot/%port:%svlan.%cvlan %sysname/0/0/ 0/0/0.Remote-ID: %macdefault Default format.