华为S3300系列以太网交换机-DHCPSnooping程序.docx

华为Quidway S3300交换机-DHCP Snooping配置 介绍了DHCP Snooping在S-switch设备上的实现和配置方法。 7.1 DHCP Snooping简介简要介绍DHCP Snooping的概念和类型。 7.2 配置防止DHCP Server仿冒者攻击介绍如何配置防止DHCP Server仿冒者攻击。 7.3 配置防止中间人与IP/MAC Spoofing攻击介绍如何配置防止中间人与IP/MAC Spoofing攻击。 7.4 配置防止改变CHADDR值的DoS攻击介绍如何配置防止改变CHADDR值的DoS攻击。 7.5 配置防止仿冒DHCP续租报文攻击介绍如何配置防止仿冒DHCP续租报文攻击。 7.6 配置丢弃报文的告警介绍如何配置丢弃报文的告警。 7.7 配置DHCP Option 82 string介绍如何配置DHCP Option 82 string。 7.8 维护DHCP Snooping介绍如何维护DHCP Snooping。 7.9 配置举例介绍DHCP Snooping的配置实例。 7.1??DHCP Snooping简介 简要介绍DHCP Snooping的概念和类型。 7.1.1 DHCP Snooping概述 7.1.2 S-switch支持的DHCP Snooping 7.1.3 配置任务的逻辑关系 7.1.1??DHCP Snooping概述 DHCP Snooping是一种DHCP（Dynamic Host Configuration Protocol）安全特性，通过截获DHCP Client和DHCP Server之间的DHCP报文并进行分析处理，可以 HYPERLINK /tags.php?/%B9%FD%C2%CB/ 过滤不信任的DHCP报文并建立和维护一个DHCP Snooping绑定表。该绑定表包括MAC地址、IP地址、租约时间、绑定类型、VLAN ID、接口信息。DHCP Snooping的作用就如同在DHCP Client和DHCP Server之间建立一道 HYPERLINK /tags.php?/%B7%C0%BB%F0%C7%BD/ 防火墙。 DHCP Snooping主要是解决设备应用DHCP时遇到DHCP DoS（Deny of Service）攻击、DHCP Server仿冒攻击、中间人攻击及IP/MAC Spoofing攻击的问题。 为此，S-switch支持MAC地址限制、DHCP Snooping安全绑定、IP + MAC绑定、Option82字段等安全方面的功能，为在网络中应用DHCP功能提供更高的安全性。 7.1.2??S-switch支持的DHCP Snooping S-switch支持的DHCP Snooping特性包括MAC地址限制、信任（Trusted）/不信任（Untrusted）、DHCP Snooping绑定表、检查DHCP报文的CHADDR字段。 DHCP Snooping在S-switch上的应用如图7-1，图中S-switch使能了DHCP Snooping功能。 图7-1??在S-switch上应用DHCP Snooping的典型组网? S-switch部署在DHCP Client和DHCP Relay中间，并使能了DHCP Snooping功能??如图7-1所示，S-switch只转发Trusted接口接收到的DHCP Reply报文，丢弃Untrusted接口接收到的DHCP Reply报文。S-switch利用Trusted接口接收到的DHCP Reply报文生成DHCP Snooping绑定表，从Untrusted接口接收到的IP、ARP报文只有与绑定表匹配时，才被转发，否则被丢弃。 S-switch支持在VLAN下配置DHCP Snooping，S-switch将检查来自指定VLAN的报文。 根据不同的攻击类型，DHCP Snooping提供不同的工作模式，见表7-1。 表7-1??攻击类型与DHCP Snooping工作模式对应表 攻击类型DHCP Snooping工作模式DHCP饿死攻击MAC地址限制DHCP Server仿冒者攻击配置接口状态为信任（Trusted）/不信任（Untrusted）中间人攻击/IP/MAC Spoofing攻击检查IP或ARP报文是否匹配DHCP Snooping绑定表改变CHADDR值的DoS攻击检查DHCP报文的CHADDR字段仿冒DHCP续租报文攻击检查DHCP Request报文是否匹配DHCP Snooping绑定表7.1.3??配置任务的逻辑关系 在本章中，所有配置任务是并列关系，配置时没