华为S3300系列以太网交换机-DHCP Snooping.docxVIP

华为Quidway S3300交换机-DHCP Snooping配置介绍了DHCP Snooping在S-switch设备上的实现和配置方法。7.1 DHCP Snooping简介简要介绍DHCP Snooping的概念和类型。7.2 配置防止DHCP Server仿冒者攻击介绍如何配置防止DHCP Server仿冒者攻击。7.3 配置防止中间人与IP/MAC Spoofing攻击介绍如何配置防止中间人与IP/MAC Spoofing攻击。7.4 配置防止改变CHADDR值的DoS攻击介绍如何配置防止改变CHADDR值的DoS攻击。7.5 配置防止仿冒DHCP续租报文攻击介绍如何配置防止仿冒DHCP续租报文攻击。7.6 配置丢弃报文的告警介绍如何配置丢弃报文的告警。7.7 配置DHCP Option 82 string介绍如何配置DHCP Option 82 string。7.8 维护DHCP Snooping介绍如何维护DHCP Snooping。7.9 配置举例介绍DHCP Snooping的配置实例。7.1??DHCP Snooping简介简要介绍DHCP Snooping的概念和类型。7.1.1 DHCP Snooping概述7.1.2 S-switch支持的DHCP Snooping7.1.3 配置任务的逻辑关系7.1.1?DHCP Snooping概述DHCP Snooping是一种DHCP（Dynamic Host Configuration Protocol）安全特性，通过截获DHCP Client和DHCP Server之间的DHCP报文并进行分析处理，可以/tags.php?/%B9%FD%C2%CB/过滤不信任的DHCP报文并建立和维护一个DHCP Snooping绑定表。该绑定表包括MAC地址、IP地址、租约时间、绑定类型、VLAN ID、接口信息。DHCP Snooping的作用就如同在DHCP Client和DHCP Server之间建立一道/tags.php?/%B7%C0%BB%F0%C7%BD/防火墙。DHCP Snooping主要是解决设备应用DHCP时遇到DHCP DoS（Deny of Service）攻击、DHCP Server仿冒攻击、中间人攻击及IP/MAC Spoofing攻击的问题。为此，S-switch支持MAC地址限制、DHCP Snooping安全绑定、IP + MAC绑定、Option82字段等安全方面的功能，为在网络中应用DHCP功能提供更高的安全性。7.1.2?S-switch支持的DHCP SnoopingS-switch支持的DHCP Snooping特性包括MAC地址限制、信任（Trusted）/不信任（Untrusted）、DHCP Snooping绑定表、检查DHCP报文的CHADDR字段。DHCP Snooping在S-switch上的应用如图7-1，图中S-switch使能了DHCP Snooping功能。图7-1?在S-switch上应用DHCP Snooping的典型组网?S-switch部署在DHCP Client和DHCP Relay中间，并使能了DHCP Snooping功能，如图7-1所示，S-switch只转发Trusted接口接收到的DHCP Reply报文，丢弃Untrusted接口接收到的DHCP Reply报文。S-switch利用Trusted接口接收到的DHCP Reply报文生成DHCP Snooping绑定表，从Untrusted接口接收到的IP、ARP报文只有与绑定表匹配时，才被转发，否则被丢弃。S-switch支持在VLAN下配置DHCP Snooping，S-switch将检查来自指定VLAN的报文。根据不同的攻击类型，DHCP Snooping提供不同的工作模式，见表7-1。表7-1?攻击类型与DHCP Snooping工作模式对应表攻击类型DHCP Snooping工作模式DHCP饿死攻击MAC地址限制DHCP Server仿冒者攻击配置接口状态为信任（Trusted）/不信任（Untrusted）中间人攻击/IP/MAC Spoofing攻击检查IP或ARP报文是否匹配DHCP Snooping绑定表改变CHADDR值的DoS攻击检查DHCP报文的CHADDR字段仿冒DHCP续租报文攻击检查DHCP Request报文是否匹配DHCP Snooping绑定表7.1.3?配置任务的逻辑关系在本章中，所有配置任务是并列关系，配置时没有先后顺序要求，可根据需要选择配置即可。7.2??配置防止DHCP Server仿冒者攻击介绍如何配置防止DHCP Server仿冒者攻击。7.2.1 建立配置任务7.2.2 使能全局D