思科Cisoc DHCP Snooping

思科Cisoc DHCP Snooping

DHCP Snooping简介
定义
DHCP Snooping是DHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址。
目的
目前DHCP协议(RFC2131)在应用的过程中遇到很多安全方面的问题,网络中存在一些针对DHCP的攻击,如DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。
为了保证网络通信业务的安全性,可引入DHCP Snooping技术,在DHCP Client和DHCP Server之间配置,在交换机上配置,以抵御网络中针对DHCP的各种攻击。
受益
设备具有防御网络上DHCP攻击的能力,增强了设备的可靠性,保障通信网络的正常运行。
为用户提供更安全的网络环境,更稳定的网络服务。

DHCP Snooping应用场景
    防止DHCP Server仿冒者攻击导致用户获取到错误的IP地址和网络参数
    防止非DHCP用户攻击导致合法用户无法正常使用网络
    防止DHCP报文泛洪攻击导致设备无法正常工作
    防止仿冒DHCP报文攻击导致合法用户无法获得IP地址或异常下线
    防止DHCP Server服务拒绝攻击导致部分用户无法上线
    Option82的典型应用
    通过LDRA功能感知用户位置信息


实验:

dhcp server:DHCP服务器

SW1: 交换机

pc1、pc2: 电脑

简述:交换机的fa0/1接口连接到DHCP服务器,如果电脑到DHCP服务器间跨着多台交换机,则可以在每台交换机上都配置snooping功能。

拓扑图:

dhcp server---------fa0/1-SW1-fa0/2-----------pc1
                                                  fa0/3-----------pc2
第一步:启用dhcp服务器与snooping服务
SW1>enable 
SW1#configure terminal  
SW1(config)#

#全局命令,打开DHCP server 与 DHCP Snooping功能,
SW1(config)#service dhcp
SW1(config)#ip dhcp snooping
备注:
DHCP服务默认如果是开启的,service dhcp不会在running-config中显示。

#可以选择在哪些VLAN上启用snooping功能
SW1(config)#ip dhcp snooping vlan 1,2,10
#在vlan1,2,10上启用dhcp snooping功能
#全局命令;设置DHCP Snooping功能将作用于哪些VLAN,交换的默认vlan为1,即交换机接口的默认vlan是1。

第二步:把交换机连接DHCP服务器方向的接口配置为信任接口Trust
SW1>enable 
SW1#configure terminal  
SW1(config)#
SW1(config)#interface fa0/1
SW1(config-if)#ip dhcp snooping trust
#连接服务器方向的接口配置成信任接口,即允许dhcp报文通过。
SW1(config-if)#

备注:
思科交换机所有接口默认为非信任接口

第三步:测试,电脑接到交换机上获取ip地址,是否达到要求。
第四步:保存配置
SW1#write
#保存配置




DHCP服务器与MAC地址绑定、snooping(列表、list、全)maclist、dhcplist、dhcpsnoopinglist
http://www.zh-cjh.com/wenzhangguilei/1005.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 思科Cisoc DHCP Snooping

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!