DHCP Snooping是DHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。它主要通过DHCP Snooping信任功能和DHCP Snooping绑定表防范非法用户的攻击。

DHCP Snooping信任功能

DHCP Snooping信任功能将接口分为信任接口和非信任接口:

  • 信任接口正常接收DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文。

  • 非信任接口在接收到DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文后,丢弃该报文。

如图1所示,网络中如果存在私自架设的DHCP Server仿冒者,则可能导致DHCP客户端获取错误的IP地址和网络配置参数,无法正常通信。

在二层网络接入设备使能DHCP Snooping场景中,一般将与合法DHCP服务器直接或间接连接的接口设置为信任接口,其他接口设置为非信任接口,使DHCP客户端的DHCP请求报文仅能从信任接口转发出去,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址。

图1 DHCPSnooping信任功能示意图

DHCP Snooping绑定表

在DHCP场景中,连接在二层接入设备上的PC配置为自动获取IP地址。PC作为DHCP客户端通过广播形式发送DHCP请求报文,使能了DHCP Snooping功能的二层接入设备将其通过信任接口转发给DHCP服务器。最后DHCP服务器将含有IP地址信息的DHCP ACK报文通过单播的方式发送给PC。在这个过程中,二层接入设备收到DHCP ACK报文后,会从该报文中提取关键信息(包括PC的MAC地址以及获取到的IP地址、地址租期),并获取与PC连接的使能了DHCP Snooping功能的接口信息(包括接口编号及该接口所属的VLAN),根据这些信息生成DHCP Snooping绑定表。DHCP Snooping绑定表根据DHCP租期进行老化或根据用户释放IP地址时发出的DHCP Release报文自动删除对应表项。

以PC1为例,图2中二层接入设备会从DHCP ACK报文提取到IP地址信息为192.168.1.253,MAC地址信息为MACA。再获取与PC连接的接口信息为if3,根据这些信息生成一条DHCP Snooping绑定表项。

图2 DHCP Snooping绑定表功能示意图

由于DHCP Snooping绑定表记录了DHCP客户端IP地址与MAC地址等参数的对应关系,故通过对报文与DHCP Snooping绑定表进行匹配检查,能够有效防范非法用户的攻击。

说明:

在DHCP中继使能DHCP Snooping场景中,DHCP Relay设备不需要设置信任接口。因为DHCP Relay收到DHCP请求报文后进行源目的IP、MAC转换处理,然后以单播形式发送给指定的合法DHCP服务器,所以DHCP Relay收到的DHCP ACK报文都是合法的,生成的DHCP Snooping绑定表也是正确的。

DHCP Snooping基本原理相关推荐

  1. 华为设备DHCP snooping配置

    DHCP  snooping作用: 1.PC可以从指定DHCPServer获取到IP地址: 2.防止其他非法的DHCP Server影响网络中的主机: DHCP Snooping的基本原理: 开启了D ...

  2. DHCP Snooping配置教程

    DHCP Snooping的基本原理: 开启了DHCP Snooping的设备将用户(DHCP客户端)的DHCP请求报文通过信任接口发送给合法的DHCP服务器.之后设备根据DHCP服务器回应的DHCP ...

  3. DHCP Snooping原理和配置

    DHCP Snooping原理和配置 基本原理 配置 一.基本原理 DHCP Snooping 功能: 使能该技术可以防止非法用户攻击,使得客户端可以从合法的服务器获取IP. 过程:使能了DHCP S ...

  4. DHCP + DHCP snooping

    DHCP DHCP协议需求背景 减少错误 通过配置DHCP,把手工配置IP地址所导致的错误减少到最低程度,例如已分配的IP地址再次分配给另一设备所造成的地址冲突等将大大减少. 减少网络管理 TCP/I ...

  5. ip dhcp snooping

    DHCP监听将交换机端口划分为两类:     ●非信任端口:通常为连接终端设备的端口,如PC,网络打印机等     ●信任端口:连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口 一.DHCP ...

  6. (一)Cisco DHCP Snooping原理(转载)

    采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址.掩码.默认网关.DNS服务器等网络参数,简化了网络配置,提高了管理效率.但在DHCP服务的管理上存在一些问题,常见的有: ●D ...

  7. dhcp snooping+IPSG的一些理解

    dhcp snooping是一种dhcp安全特性,能够过滤来自网络中主机或其他设备的非信任dhcp报文,通过建立并维护dhcp binding表. DHCP snooping 建立DHCP bindi ...

  8. 使用交换机的dhcp snooping拒绝非法dhcp服务

    我在2010年8月的时候,在陕西某化工集团做了一个园区网的项目,记得当时整个园区的大的架构做完以后,甲方要求,宿舍楼的网络要求做出更改,由原来的静态的分配ip地址变更为DHCP自动获取. 其实此次变更 ...

  9. (五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)...

    试验拓扑 环境:dhcp server和dhcp客户端属于同vlan,但是客户端属于不同的交换机,在L2和L3交换机开启dhcp snooping后得出如下结论 L3交换机的配置 ip dhcp po ...

最新文章

  1. SpringBoot整合MyBatis详细教程~
  2. python生成一个窗口_PyQt5创建一个新窗口的实例
  3. 缺陷分析与软件质量的关系
  4. jackson使用_如何在Jackson中使用PropertyNamingStrategy
  5. 利用expect实现自动化操作
  6. 蓝牙耳机按键事件linux,调用蓝牙耳机的按键,或者有线耳机的按键方法?
  7. 2020 年帮你加薪的 7 个小习惯
  8. redis未授权反弹shell
  9. 【数据结构笔记04】线性结构:线性表及其实现
  10. 开发 Windows 8 Bing地图应用(4)
  11. nginx工作原理与配置
  12. IPv4中IP地址的分类
  13. 质量管理8D报告详解,附报告模板
  14. spack file hierarchy system
  15. android设置背景色为全透明和半透明
  16. 字节跳动瞄准千亿互联网医疗蓝海,张一鸣想靠AI算法当“药神”?
  17. 鼓励师加成太刺激,鼻血喷了半斤,代码不一会儿就写完了...
  18. 2022建筑设计企业申报建筑设计资质流程
  19. BLS 签名和基于 BLS 签名的门限签名
  20. 新近起病的活动性RA患者中达标治疗与常规治疗的疗效比较:来自GUEPARD试验和ESPOIR队列的数据...

热门文章

  1. iOS 右滑返回失效问题终极解决方案
  2. web前端Vue 报错:Uncaught (in promise) TypeError: Cannot read properties of nu
  3. mac下golang语言配置goproxy
  4. 【深度学习与图神经网络核心技术实践应用高级研修班-Day1】深度学习的发展历史(完整版)
  5. Oracle恢复手册
  6. [附源码]Java计算机毕业设计SSM爱音乐网站
  7. 消息服务器更新库存,数据中心降温 2019年服务器存储器进入库存调整
  8. sourcetree报错SSL certificate problem: self signed certificate解决方案
  9. 【夜读】越活越年轻的9个好习惯,请让自己养成
  10. 【100%通过率】华为OD机试真题 C 实现【最差产品奖】【2022.11 Q4 新题】