IP DHCP Snooping 和 DAI.doc

IP DHCP Snooping 和 Ip Source Guard、 DAI 目的 为了配合使用公司的dhcp enforcement准入控制组件，强制终端电脑用dhcp来获取IP，并使用内部网络。为了防止终端用户通过手动设置IP来绕过DHCP，必须在交换机上配合使用IP DHCP Snooping、IP Source Guard、或DAI（dynamic arp inspection）技术，使得手动设置IP的终端电脑无法使用网络。 环境 如下图 其中： Cisco3560 Interface Vlan 68 -54 Interface Vlan 69 -54 Interface Vlan 70 -54 Interface Vlan 80 -54 为测试环境的核心交换机，所有网段的网关在此交换机上，此交换机采用802.1q与其他交换机相连 Cisco3550 Interface Vlan 80 -50 此交换机采用802.1q与cisco3560交换机相连 H3c3952 Interface Vlan 68 -52 此交换机采用802.1q与cisco3560交换机相连 Cisco2621 Interface fa0/0 -53 Interface fa0/1 -54 此路由器一个端口连接cisco3550，一个端口连接2950 Cisco2950 Interface Vlan 82 -53 此交换机采用802.1q与cisco3550交换机相连 PC1 PC2 5 PC3 PC4 原理介绍 DHCP Server 用于管理分配IP地址从特定的地址池，它可以是一个PC/ROUTER/SWITCH。DHCP Relay Agent 一个用于在DHCP SERVER与DHCP Client之间转发DHCP Packets的中间三层设备。它主要应用于DHCP SERVER与Client端在不同的子网时，临时作为一个代理，在它们之间传递数据包。DHCP Relay Agent的中继转发不同与一般的二层转发，它在收到一个DHCP消息时，会生成一个新的DHCP消息同时发送到外出接口。DHCP Snooping 一种DHC安全特性，通过建立和维护一个DHCP Snooping Binding Database/Table,过滤untrusted DHCP消息。DHCP Snooping就像是运行在untrusted hosts与DHCP SERVER之间的一个firewall一样。使用DHCP Snooping可以将连接到end user的untrusted interfaces与连接到DHCP SERVER或其它switch的trusted interfaces区别开来。D为了使DHCP Snooping特性正常的工作，首先所有DHCP SERVERS的interface都必须trusted，而其他终端连接的端口设置成untrusted（一般默认都是untrusted）。DHCP Snooping Binding Database中包含关于本地switch的所有untrusted interfaces的MAC,IP,lease time,binding type,vlan number及interface消息等。它不存储关于trusted interfaces的任何消息。当一个switch从一个untrusted interface接收到一个packet，并且此接口所属的VLAN配置了DHCP Snooping时，switch会将这个packet的source MAC address与DHCP Client端的hardware address相比较，默认情况下如果相同，switch就会转发这个packet，如果不相同，此包被丢弃。当下面几种情况发生时，switch会丢弃DHCP Packets：收到一个外部网络或firewall的DHCP SERVER发来的packet。从一个untrusted interface上接收到一个packet，并且source MAC address与DHCP client的hardware address不匹配。switch接收到一个MAC address在DHCP Snooping Binding Database里的DHCPRELEASE或DHCPDECLINE广播包，但是Binding Dabase里的interface消息与接收到广播的接口的interface消息不匹配。一个DHCP Relay Agent在转发一个DHCP packet的时候没有设置relay-agent ip address字段为；或是Relay Agent转发了一个包含option-82