DHCP Snooping基本原理
DHCP Snooping是DHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。它主要通过DHCP Snooping信任功能和DHCP Snooping绑定表防范非法用户的攻击。
DHCP Snooping信任功能
DHCP Snooping信任功能将接口分为信任接口和非信任接口:
信任接口正常接收DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文。
非信任接口在接收到DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文后,丢弃该报文。
如图1所示,网络中如果存在私自架设的DHCP Server仿冒者,则可能导致DHCP客户端获取错误的IP地址和网络配置参数,无法正常通信。
在二层网络接入设备使能DHCP Snooping场景中,一般将与合法DHCP服务器直接或间接连接的接口设置为信任接口,其他接口设置为非信任接口,使DHCP客户端的DHCP请求报文仅能从信任接口转发出去,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址。
图1 DHCPSnooping信任功能示意图
DHCP Snooping绑定表
在DHCP场景中,连接在二层接入设备上的PC配置为自动获取IP地址。PC作为DHCP客户端通过广播形式发送DHCP请求报文,使能了DHCP Snooping功能的二层接入设备将其通过信任接口转发给DHCP服务器。最后DHCP服务器将含有IP地址信息的DHCP ACK报文通过单播的方式发送给PC。在这个过程中,二层接入设备收到DHCP ACK报文后,会从该报文中提取关键信息(包括PC的MAC地址以及获取到的IP地址、地址租期),并获取与PC连接的使能了DHCP Snooping功能的接口信息(包括接口编号及该接口所属的VLAN),根据这些信息生成DHCP Snooping绑定表。DHCP Snooping绑定表根据DHCP租期进行老化或根据用户释放IP地址时发出的DHCP Release报文自动删除对应表项。
以PC1为例,图2中二层接入设备会从DHCP ACK报文提取到IP地址信息为192.168.1.253,MAC地址信息为MACA。再获取与PC连接的接口信息为if3,根据这些信息生成一条DHCP Snooping绑定表项。
图2 DHCP Snooping绑定表功能示意图
由于DHCP Snooping绑定表记录了DHCP客户端IP地址与MAC地址等参数的对应关系,故通过对报文与DHCP Snooping绑定表进行匹配检查,能够有效防范非法用户的攻击。
说明:
在DHCP中继使能DHCP Snooping场景中,DHCP Relay设备不需要设置信任接口。因为DHCP Relay收到DHCP请求报文后进行源目的IP、MAC转换处理,然后以单播形式发送给指定的合法DHCP服务器,所以DHCP Relay收到的DHCP ACK报文都是合法的,生成的DHCP Snooping绑定表也是正确的。
DHCP Snooping基本原理相关推荐
- 华为设备DHCP snooping配置
DHCP snooping作用: 1.PC可以从指定DHCPServer获取到IP地址: 2.防止其他非法的DHCP Server影响网络中的主机: DHCP Snooping的基本原理: 开启了D ...
- DHCP Snooping配置教程
DHCP Snooping的基本原理: 开启了DHCP Snooping的设备将用户(DHCP客户端)的DHCP请求报文通过信任接口发送给合法的DHCP服务器.之后设备根据DHCP服务器回应的DHCP ...
- DHCP Snooping原理和配置
DHCP Snooping原理和配置 基本原理 配置 一.基本原理 DHCP Snooping 功能: 使能该技术可以防止非法用户攻击,使得客户端可以从合法的服务器获取IP. 过程:使能了DHCP S ...
- DHCP + DHCP snooping
DHCP DHCP协议需求背景 减少错误 通过配置DHCP,把手工配置IP地址所导致的错误减少到最低程度,例如已分配的IP地址再次分配给另一设备所造成的地址冲突等将大大减少. 减少网络管理 TCP/I ...
- ip dhcp snooping
DHCP监听将交换机端口划分为两类: ●非信任端口:通常为连接终端设备的端口,如PC,网络打印机等 ●信任端口:连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口 一.DHCP ...
- (一)Cisco DHCP Snooping原理(转载)
采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址.掩码.默认网关.DNS服务器等网络参数,简化了网络配置,提高了管理效率.但在DHCP服务的管理上存在一些问题,常见的有: ●D ...
- dhcp snooping+IPSG的一些理解
dhcp snooping是一种dhcp安全特性,能够过滤来自网络中主机或其他设备的非信任dhcp报文,通过建立并维护dhcp binding表. DHCP snooping 建立DHCP bindi ...
- 使用交换机的dhcp snooping拒绝非法dhcp服务
我在2010年8月的时候,在陕西某化工集团做了一个园区网的项目,记得当时整个园区的大的架构做完以后,甲方要求,宿舍楼的网络要求做出更改,由原来的静态的分配ip地址变更为DHCP自动获取. 其实此次变更 ...
- (五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)...
试验拓扑 环境:dhcp server和dhcp客户端属于同vlan,但是客户端属于不同的交换机,在L2和L3交换机开启dhcp snooping后得出如下结论 L3交换机的配置 ip dhcp po ...
最新文章
- SpringBoot整合MyBatis详细教程~
- python生成一个窗口_PyQt5创建一个新窗口的实例
- 缺陷分析与软件质量的关系
- jackson使用_如何在Jackson中使用PropertyNamingStrategy
- 利用expect实现自动化操作
- 蓝牙耳机按键事件linux,调用蓝牙耳机的按键,或者有线耳机的按键方法?
- 2020 年帮你加薪的 7 个小习惯
- redis未授权反弹shell
- 【数据结构笔记04】线性结构:线性表及其实现
- 开发 Windows 8 Bing地图应用(4)
- nginx工作原理与配置
- IPv4中IP地址的分类
- 质量管理8D报告详解,附报告模板
- spack file hierarchy system
- android设置背景色为全透明和半透明
- 字节跳动瞄准千亿互联网医疗蓝海,张一鸣想靠AI算法当“药神”?
- 鼓励师加成太刺激,鼻血喷了半斤,代码不一会儿就写完了...
- 2022建筑设计企业申报建筑设计资质流程
- BLS 签名和基于 BLS 签名的门限签名
- 新近起病的活动性RA患者中达标治疗与常规治疗的疗效比较:来自GUEPARD试验和ESPOIR队列的数据...
热门文章
- iOS 右滑返回失效问题终极解决方案
- web前端Vue 报错:Uncaught (in promise) TypeError: Cannot read properties of nu
- mac下golang语言配置goproxy
- 【深度学习与图神经网络核心技术实践应用高级研修班-Day1】深度学习的发展历史(完整版)
- Oracle恢复手册
- [附源码]Java计算机毕业设计SSM爱音乐网站
- 消息服务器更新库存,数据中心降温 2019年服务器存储器进入库存调整
- sourcetree报错SSL certificate problem: self signed certificate解决方案
- 【夜读】越活越年轻的9个好习惯,请让自己养成
- 【100%通过率】华为OD机试真题 C 实现【最差产品奖】【2022.11 Q4 新题】