轻松运维之防止私自启用DHCP服务.docVIP

老实说，做一个网络管理员真不是一件轻松的事情，你在工作中总是会遇到各种各样的问题，这其中不仅仅有来自外部的攻击，甚至相当一部分是来自你所在企业内部用户的威胁。在企业里面，总是会有一部分用户或者出于无知，或者是故意的引发一些IT问题，给你的工作带来困扰。 ??? 想想这个情景吧，某个内部用户私自接入了一台路由器并在不知道的情况下启用了DHCP 服务，你很容易就能想到接下来会发生什么？你所管理的网络里面可能会有一半以上的用户都无法联网了，大家的工作都被迫停顿了下来，因为他们的电脑获取了错误的IP地址。好了，现在是最需要你的时候了，你得在一堆用户的不满声中处理问题，找出是谁做了这么糟糕的事情并马上制止他愚蠢的行为，但查出问题源头好像也不是一件很简单的事情，如果不幸的话，可能在你还没找到该用户的时候，就已经被大家的口水淹没了。呵呵 ，想想都觉得恐怖，由于用户的错误让我们的工作变成了恶梦。 ????当然，做为一个网络管理员，我们肯定不能听天由命地任由这种事情发生，得想点什么办法才行。那么，对此我们能有什么解决方法呢？ ??? 其实，就解决这类问题的方法来说，我想更好的方法应该是从根源上去防止，如通过培训来提升用户的IT素质，还有制定明确的IT规范并与行政处罚挂钩来处理，而不能对于什么问题都想着用技术来解决，毕竟技术不是万能的，没办法解决所有问题，一个制度规范混乱的企业不管有多好的设备和技术都不可能做好管理的。 ???? 在做好上面事情以后，我们可以把技术做为管理的辅助工具，像这篇文章要介绍的DHCP Snooping技术，它就可以很好的解决用户私开DHCP的问题。除此之外，它还可以与DAI(Dynamic ARP Inspection)技术相结合，来防止用户私自设定IP地址，这也是很多网络管理员头痛的一个问题。（想想用户把IP改成服务器地址的情景吧。） ? ?关于DHCP Snooping ·???DHCP监听（DHCP Snooping）是一种DHCP安全特性。当交换机开启了 DHCP-Snooping后，将开始对DHCP报文进行侦听。DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。 ??? 我们可以在接入层交换机上将PC、网络打印机等设备所连端口设为非信任端口，将连接到DHCP 服务器或连接汇聚交换机的上行端口设为信任端口。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。 ??? 另外，DHCP监听还有一个非常重要的作用就是建立一张DHCP监听绑定表（ DHCP Snooping Binding）。一旦一个连接在非信任端口的客户端获得一个合法的DHCP Offer，交换机就会自动在DHCP监听绑定表里添加一个绑定条目，内容包括了该非信任端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信息。(如下图) 这张表为进一步部署动态ARP检测（DAI）提供了依据，DAI将检测从非信任端口收到的arp包，然后对照该数据包的源IP与源MAC地址是否与表里的数据相同，如果不符合则丢弃该数据包，这样当用户手动更改IP地址后，该计算机将无法连入企业网络。在这里我就不多做介绍，大家有兴趣可以自己去网上了解。 ? ???? 现在，我们来看一下DHCP Snooping在交换机上的配置。 ???? 如下图拓扑所示，这是一个多交换机的环境，由企业指定的DHCP 服务器提供DHCP 服务，禁止其他用户私自搭建DHCP服务器。 ? ? 3560交换机配置 switch(config)# ip dhcp snooping ???????????????? ；在全局模式下启用DHCP Snooping???????????? switch(config)# ip dhcp snooping vlan 1????????；定义哪些 VLAN启用 DHCP Snooping功能 ? switch(config)#int ?fa0/1??????????????????????????????? ；dhcp服务器所在端口 switch(config-if)#?ip dhcp snooping trust????????；定义其为信任端口 ? ? switch(config)#int fa0/2???????????????????????????????? ?；下联2960端口，设为信任端口 ? switch(config)#ip dhcp snooping trust??????????????；定义为信任端口 ? switch(config)#inf ra