网络工程规划与设计案例教程项目三_任务三_DHCPSNOOPING专题.doc

　　　 DHCP SNOOPING 目 录 1. DHCP/DHCP SNOOPING 概述 1 1.1 DHCP 1 1.2 DHCP SNOOPING 1 1.3 Dynamic ARP Inspection技术 2 2. DHCP　Snooping组网应用及配置 2 2.1 DHCP Snooping业务中需求 2 2.1.1 防私设DHCP Server 2 2.1.2 防用户私设IP地址 2 2.2 应用实例： 3 2.2.1 DHCP SNOOPING(防私设服务器) 3 2.2.2 DHCP SNOOPING(防用户私设IP地址) 4 2.2.3 C系列交换机的DHCP SNOOPING配置介绍 10 2.2.4 调试与维护 11 DHCP/DHCP SNOOPING 概述 DHCP DHCP（动态主机配置协议）能够让网络上的主机从一个DHCP服务器上获得一个可以让其正常通信的IP地址以及相关的配置信息。RFC2131详细的描述了DHCP。 DHCP采用UDP作为传输协议，主机发送消息到DHCP服务器的67号端口，服务器回消息给主机的68号端口。DHCP的工作主要分为以下几步： 主机发送一个请求IP地址和其他配置参数的广播报文DHCPDiscover； DHCP服务器回送一个包含有效IP地址及配置的单播报文DHCPOffer； 主机选择最先到达的DHCPOffer的那个服务器，并向它发送一个单播报文DHCPRequest，表示接受相关配置； 选中的DHCP服务器回送一个确认的单播报文DHCPAck。 至此，主机就可以利用从DHCP服务器获得的IP地址和相关配置进行通信。 DHCP服务器为主机分配的IP地址有三种形式： 管理员将一个IP地址分配给一个确定的主机； 随机的将地址永久性分配给主机； 随机将地址分配给主机使用一段时间。 我们常用的是第3种形式。地址的有效使用时间段称为租用期。租用期满之前，主机必须向服务器请求继续租用，服务器接受请求才能继续使用，否则无条件放弃。 由于默认情况下，路由器不会将收到的广播包从一个子网发送到另一个子网。而当DHCP服务器和客户主机不在同一个子网时，充当客户主机默认网关的路由器必须将广播包发送到DHCP服务器所在的子网，这一功能就称为DHCP中继。 DHCP SNOOPING DHCP Snooping是一种通过建立和维护DHCP Snooping绑定表，过滤不可信任的DHCP信息，从而保证网络安全特性的技术。DHCP Snooping就像是非信任的主机和DHCP服务器之间的防火墙。通过DHCP Snooping来区分连接到末端客户或防火墙的非信任接口和连接到DHCP服务器或者其他交换机的受信任接口。 DHCP Snooping Binding数据库包括如下信息：MAC地址、IP地址、租约时间、binding类型、VLAN ID以及来自本地非信任端口的接口信息，但不包含通过受信任端口互相连接的接口信息。Dynamic ARP Inspection技术 Dynamic ARP inspection是一种验证网络中ARP包的安全特性，可以阻止、记录并丢弃非法IP和MAC地址绑定的ARP包。 Dynamic ARP inspection保证只有合法的ARP请求和响应可以传播。交换机会完成如下工作，截取所有来自非信任端口ARP请求和响应，在更新ARP缓存或传播数据包之前验证所截取的数据包IP-MAC地址绑定是否合法，丢弃非法的ARP包。 Dynamic ARP inspection基于DHCP Snooping建立的包含合法IP-MAC地址绑定信息的数据库检验所截取ARP包的合法性。如果ARP包来自非信任接口，那么只有合法的可以通过。如果来自受信任端口，将可以直接通过。IP用户的MAC置丢弃位使其不能上网,在2层上就彻底切断了静态指定IP地址用户的数据流。 ３层实现是指设备跨VLAN做DHCP RELAY，同时开启DHCP Snooping以及Dynamic ARP inspection防止用户设置静态IP地址。在这种情况下，静态指定IP的用户2层业务是可以通的，只是在走３层路由时会在DHCP RELAY处被切断数据流。 目前在二层上通过对MAC的控制实现防止静态IP用户的功能是在D版本上实现的，现在使用的G系列的B版本只支持跨VLAN的防用户私设IP地址，只能在３层实现。39的2.6.0.2.D已经把2层上防静态指定IP的用户的功能合了进来，可以支持两种环境下的防静态用户。 具体配置参见下面的应用实例。 应用实例： DHCP SNOOPING(防私设服务器) 图１ DHCP SNOOPING防用户私设服务器 图1的是一个纯２层网络，用户和DHCP SERVE