国际认证-锐捷认证-DHCP相关安全设计 (1).pptx

职业认证—锐捷认证

DHCP相关安全设计

版权说明本文档来自锐捷大学的培训教案，若作者对本资料的使用持有异议，请及时与本网站联系，我们将第一时间妥善处理。

DHCP相关安全设计DHCP应用服务在校园网运营过程中可能存在的问题？用户使用静态IP地址接入部分用户手动配置IP地址，但DHCP服务器是不知道的，因此在为DHCP用户分配IP地址的时候，用户通过DHCP获取到的IP地址，在网络中是已经使用的，导致了IP地址冲突。用户架设非法DHCP服务器在同一VLAN中，如果存在恶意用户私自架设了一台DHCP服务器，那么将会使该VLAN内的用户获取到错误的IP地址，导致无法接入进校园网

DHCP相关安全设计DHCP应用服务在校园网运营过程中可能存在的问题？手动配置了172.16.10.2通过DCHP获取到172.16.10.2IP地址冲突，都无法正常接入网络

DHCP相关安全设计DHCP应用服务在校园网运营过程中可能存在的问题？非法DHCP服务器地址池:13.0.0.0.0/24获得错误的13.0.0.1地址DHCP服务器地址池:172.16.10.0/24校园网

DHCP相关安全设计如何解决上面描述的两个DHCP应用的安全问题？在接入交换机上使用DHCPSnooping相关功能，可以实现1.防止下联用户假设非法DHCP服务器校园网DHCP服务器汇聚交换机接入交换机PC非法DHCP服务器DHCPDiscoverDHCPDiscover非法DHCPOffer合法DHCPOfferDHCPRequestDHCPAck问题的关键就是在从连接用户的下联端口接收并转发了非法的DHCP响应报文

DHCP相关安全设计如何解决上面描述的两个DHCP应用的安全问题？在接入交换机上使用DHCPSnooping相关功能，可以实现1.防止下联用户假设非法DHCP服务器校园网DHCP服务器汇聚交换机接入交换机PC非法DHCP服务器DHCPSnoopingTrust接口DHCPSnoopingUntrust接口DHCPOffer/ACKipdhcpsnoopinginterfacef0/24ipdhcpsnoopingtrustF0/24

DHCP相关安全设计如何解决上面描述的两个DHCP应用的安全问题？使用DHCPSnooping相关功能，可以实现2.防止下联用户使用静态IP地址接入网络（ipsourceguard功能）校园网DHCP服务器汇聚交换机接入交换机PC通过DHCP动态获取的IP地址10.1.100.1/24手工配置静态IP地址10.1.100.1/24F0/24F0/1F0/2ipdhcpsnoopinginterfacef0/1ipverifysourceport-securityinterfacef0/2ipverifysourceport-security接入交换机会窥探DHCP报文交互的过程，并从DHCPACK报文中提取相关IP和MAC信息，将其绑定在硬件表项中，这样只有经过DHCP方式获取IP地址的主机，其IP和MAC才会被交换机所允许转发，而非DHCP方式设置IP地址，这样的报文会被交换机丢弃