4.4 讲解DHCPSnooping、DAI、IP源防护、ARP-CHECK讲解.pptx

技术讲解DHCP安全防护主讲人：赫颖学校：广东松山职业技术学院

目录CONTENTS01DHCP安全隐患02防护手段03配置命令

DHCP安全隐患01Partone

DHCP的安全隐患DHCPServer仿冒者攻击导致用户获取到错误的IP地址和网络参数；用户私自更改IP地址，导致局域网内IP地址冲突；非法用户使用ARP欺骗；DHCPServer服务拒绝攻击导致用户无法获取到IP地址。

防护手段02Parttwo

防护手段DHCPSnooping定义DHCPSnooping名为DHCP窥探，是一种网络安全机制，用来防止未经授权的DHCP服务器在局域网中提供IP地址分配服务。它通过监视网络上的DHCP消息流量，并验证DHCP服务器发送的消息的合法性，以防止恶意的DHCP服务器攻击或误配置导致的网络故障。

防护手段信任接口：正常接收DHCP服务器响应的DHCPACK、DHCPNAK和DHCPOffer报文。非信任接口：接收到DHCP服务器响应的DHCPACK、DHCPNAK和DHCPOffer报文后，丢弃该报文。DHCPSnooping将接口分为信任接口和非信任接口。

防护手段DHCPSnooping绑定表DHCPSnooping通过窥探Client和Server之间交互的报文，把用户获取到的IP信息以及用户MAC、VID、端口、租约时间等信息组成用户记录表项，从而形成DHCPSnooping的用户数据库，配合ARP检测功能或ARPCheck功能的使用，从而达到控制用户合法使用IP地址的目的。

防护手段IPSG概述IPSourceGuard（IP源防护），在一个局域网中，存在非法客户端私自将手动修改IP地址，导致局域网中地址冲突，从而影响主机之间的正常通信。更为严重的是，私自将IP地址更改为网关的IP地址，那么将导致局域网内的所有用户无法上网。

防护手段IPSG工作原理该功能基于DHCPSnooping，IPSG也存在一张表，该表实际上是来源于DHCPSnooping绑定表，内容基本一致。当一个数据进入交换机接口，如果该接口配置了IPSG功能，那么会检查这个报文的源IP地址，如果这个地址在IPSG表中存在对应的记录，那么放行这个报文，如果不存在，则丢弃该报文。

防护手段ARP-Check概述通过获取安全功能生成的安全表项，生成对应的ARP过滤表项，通过此ARP过滤表现，对ARP报文合法性进行检查。不符合ARP过滤表项的报文则被过滤和丢弃，放行正常合法的ARP报文，有效的防止网络中的ARP欺骗。

防护手段DAI概述全名为DynamicARPInspection（动态ARP检测），在用户PC动态获取IP地址的过程中，通过接入层交换机的DHCPSnooping功能将用户DHCP获取到的，正确的IP与MAC信息记录到交换机的DHCPSnooping软件表；然后使用DAI功能（纯CPU方式）校验进入交换机的所有ARP报文，将ARP报文里面的SenderIP及SenderMAC字段与DHCPSnooping表里面的IP+MAC记录信息进行比较，如果一致则放通，否则丢弃。

配置命令03Partthree

配置命令配置命令1.开启DHCPSnooping功能：Ruijie(config)#ipdhcpsnooping//全局开启Snooping功能Ruijie(config)#interfacegigabitEthernet0/0Ruijie(config-if-GigabitEthernet0/0)#ipdhcpsnoopingtrust//将连接合法DHCP服务器的接口配置为信任口

配置命令配置命令2.开启IPSourceGuard功能：Ruijie(config)#interfacegigabitEthernet0/1//进入连接客户端的接口Ruijie(config-if-GigabitEthernet0/1)#ipverifysource//仅对用户进行源IP检测或：Ruijie(config-if-GigabitEthernet0/1)#ipverifysourceport-security//对用户进行源IP+源MAC检测

配置命令配置命令3.开启ARP-Check功能Ruijie(config)#interfacegigabitEthernet0/1 //进入连接客户端的接口Ruijie(config-if-GigabitEthernet0/1)#arp-check //开启ARP-check

配置命令配置命令4.DAI配置Ruijie(config)#i