思科Cisoc DHCP Snooping

思科Cisoc DHCP Snooping

DHCP Snooping简介
定义
DHCP Snooping是DHCP（Dynamic Host Configuration Protocol）的一种安全特性，用于保证DHCP客户端从合法的DHCP服务器获取IP地址。
目的
目前DHCP协议（RFC2131）在应用的过程中遇到很多安全方面的问题，网络中存在一些针对DHCP的攻击，如DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。
为了保证网络通信业务的安全性，可引入DHCP Snooping技术，在DHCP Client和DHCP Server之间配置，在交换机上配置，以抵御网络中针对DHCP的各种攻击。
受益
设备具有防御网络上DHCP攻击的能力，增强了设备的可靠性，保障通信网络的正常运行。
为用户提供更安全的网络环境，更稳定的网络服务。

DHCP Snooping应用场景
    防止DHCP Server仿冒者攻击导致用户获取到错误的IP地址和网络参数
    防止非DHCP用户攻击导致合法用户无法正常使用网络
    防止DHCP报文泛洪攻击导致设备无法正常工作
    防止仿冒DHCP报文攻击导致合法用户无法获得IP地址或异常下线
    防止DHCP Server服务拒绝攻击导致部分用户无法上线
    Option82的典型应用
    通过LDRA功能感知用户位置信息

实验：

dhcp server：DHCP服务器

SW1: 交换机

pc1、pc2: 电脑

简述：交换机的fa0/1接口连接到DHCP服务器，如果电脑到DHCP服务器间跨着多台交换机，则可以在每台交换机上都配置snooping功能。

拓扑图：

dhcp server---------fa0/1-SW1-fa0/2-----------pc1
                                                  fa0/3-----------pc2
第一步：启用dhcp服务器与snooping服务
SW1>enable 
SW1#configure terminal  
SW1(config)#

#全局命令，打开DHCP server 与 DHCP Snooping功能，
SW1(config)#service dhcp
SW1(config)#ip dhcp snooping
备注：
DHCP服务默认如果是开启的，service dhcp不会在running-config中显示。

#可以选择在哪些VLAN上启用snooping功能
SW1(config)#ip dhcp snooping vlan 1,2,10
#在vlan1,2,10上启用dhcp snooping功能
#全局命令；设置DHCP Snooping功能将作用于哪些VLAN,交换的默认vlan为1，即交换机接口的默认vlan是1。

第二步：把交换机连接DHCP服务器方向的接口配置为信任接口Trust
SW1>enable 
SW1#configure terminal  
SW1(config)#
SW1(config)#interface fa0/1
SW1(config-if)#ip dhcp snooping trust
#连接服务器方向的接口配置成信任接口，即允许dhcp报文通过。
SW1(config-if)#

备注：
思科交换机所有接口默认为非信任接口

第三步：测试，电脑接到交换机上获取ip地址，是否达到要求。
第四步：保存配置
SW1#write
#保存配置

DHCP服务器与MAC地址绑定、snooping（列表、list、全）maclist、dhcplist、dhcpsnoopinglist
http://www.zh-cjh.com/wenzhangguilei/1005.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html