CloudEngine 8800&7800&6800&5800 系列交换机配置指南-安全
11 DHCP Snooping配置
11关于本章
11.2 原理描述
介绍DHCP Snooping的实现原理。11.3 应用场景
介绍DHCP Snooping的应用场景。11.4 配置注意事项
介绍DHCP Snooping配置注意事项。
DHCP Snooping配置
介绍DHCP Snooping的原理和配置方法,并给出配置举例。11.1 DHCP Snooping简介
介绍DHCP Snooping的定义、由来和作用。
11.5 缺省配置
介绍设备DHCP Snooping功能的缺省配置,实际应用的配置可以基于缺省配置进行修改。
11.6 配置DHCP Snooping的基本功能
利用DHCP Snooping技术,设备能够保证客户端从合法的服务器获取IP地址,而且能够记录DHCP客户端IP地址与MAC地址等参数的对应关系进而生成绑定表。
11.7 配置DHCP Snooping的攻击防范功能
在配置完成DHCP Snooping的基本功能后,设备能够保证客户端从合法的服务器获取IP地址,这有效防止了网络中DHCP Server仿冒者攻击。但是在DHCP网络环境中,攻击者仍有多种攻击手段可对网络进行攻击。此时根据需要,管理员可配置DHCP Snooping的攻击防范功能。
11.8 配置在DHCP报文中添加Option82字段
为使DHCP Server能够获取到DHCP用户的精确物理位置信息,可在DHCP报文中添加Option82字段。
11.9 维护DHCP Snooping
设备支持清除DHCP Snooping的统计信息、动态绑定表或备份DHCP Snooping动态绑定表等功能。11.10 配置举例
文档版本 06 (2017-09-12)
华为专有和保密信息
版权所有 ? 华为技术有限公司
274
CloudEngine 8800&7800&6800&5800 系列交换机配置指南-安全
11 DHCP Snooping配置
通过示例介绍DHCP Snooping的使用环境,配置思路与配置过程等。11.11 常见配置错误
介绍DHCP Snooping常见配置错误的处理方法。11.12 参考标准和协议
11.1 DHCP Snooping简介
介绍DHCP Snooping的定义、由来和作用。
定义
DHCP Snooping是DHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
目的
目前DHCP协议(RFC2131)在应用的过程中遇到很多安全方面的问题,网络中存在一些针对DHCP的攻击,如DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。
为了保证网络通信业务的安全性,可引入DHCP Snooping技术,在DHCP Client和DHCPServer之间建立一道防火墙,以抵御网络中针对DHCP的各种攻击。
受益
ll
设备具有防御网络上DHCP攻击的能力,增强了设备的可靠性,保障通信网络的正常运行。
为用户提供更安全的网络环境,更稳定的网络服务。
11.2 原理描述
介绍DHCP Snooping的实现原理。
11.2.1 DHCP Snooping的基本原理
DHCP Snooping能够实现如下基本功能:
信任功能
DHCP Snooping的信任功能,能够保证客户端从合法的服务器获取IP(InternetProtocol)地址。
网络中如果存在私自架设的DHCP Server仿冒者,则可能导致DHCP客户端获取错误的IP地址和网络配置参数,无法正常通信。DHCP Snooping信任功能可以控制DHCP服务器应答报文的来源,以防止网络中可能存在的DHCP Server仿冒者为DHCP客户端分配IP地址及其他配置信息。
DHCP Snooping信任功能将接口分为信任接口和非信任接口:l
信任接口正常接收DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文。
华为专有和保密信息
版权所有 ? 华为技术有限公司
275
文档版本 06 (2017-09-12)
CloudEngine 8800&7800&6800&5800 系列交换机配置指南-安全
11 DHCP Snooping配置
l
非信任接口在接收到DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文后,丢弃该报文。
说明管理员在部署网络时,一般将与合法DHCP服务器直接或间接连接的接口设置为信任接口,其他接口设置为非信任接口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的DHCP Server仿冒者无法为DHCP客户端分配IP地址。
分析功能
开启DHCP Snooping功能后,设备能够通过分析DHCP的报文交互过程,生成DHCPSnooping绑定表,绑定表项包括客户端的MAC地址、获取到的IP地址、与DHCP客户端连接的接口及该接口所属的VLAN(Virtual Local Area Network)等信息。
DHCP Snooping绑定表根据DHCP租期进行老化或根据用户释放IP地址时发出的DHCPRelease报文自动删除对应表项。
出于安全性的考虑,管理员需要记录用户上网时所用的IP地址,确认用户申请的IP地址和用户使用的主机的MAC地址的对应关系。在设备通过DHCP Snooping功能生成绑定表后,管理员可以方便的记录DHCP用户申请的IP地址与所用主机的MAC地址之间的对应关系。
由于DHCP Snooping绑定表记录了DHCP客户端IP地址与MAC地址等参数的对应关系,故通过对报文与DHCP Snooping绑定表进行匹配检查,能够有效防范非法用户的攻击。为了保证设备在生成DHCP Snooping绑定表时能够获取到用户MAC等参数,DHCPSnooping功能需应用于二层网络中的接入设备或第一个DHCP Relay上。
11.2.2 DHCP Snooping支持的Option82功能
概述
在传统的DHCP动态分配IP地址过程中,DHCP Server不能够根据DHCP请求报文感知到用户的具体物理位置,以致同一VLAN的用户得到的IP地址所拥有的权限是完全相同的。由于网络管理者不能对同一VLAN中特定的用户进行有效的控制,即不能够控制客户端对网络资源的访问,这将给网络的安全控制提出了严峻的挑战。
RFC 3046定义了DHCP Relay Agent Information Option(Option 82),该选项记录了DHCP Client的位置信息。DHCP Snooping设备或DHCP Relay通过在DHCP请求报文中添加Option82选项,将DHCP Client的精确物理位置信息传递给DHCP Server,从而使得DHCP Server能够为主机分配合适的IP地址和其他配置信息,实现对客户端的安全控制。
Option82包含两个常用子选项Circuit ID和Remote ID。其中Circuit ID子选项主要用来标识客户端所在的VLAN、接口等信息,Remote ID子选项主要用来标识客户端接入的设备,一般为设备的MAC地址。
文档版本 06 (2017-09-12)
华为专有和保密信息
版权所有 ? 华为技术有限公司
276
CloudEngine 8800&7800&6800&5800 系列交换机配置指南-安全
说明11 DHCP Snooping配置
l设备作为DHCP Relay时,使能或未使能DHCP Snooping功能都可支持Option82选项功能,但
若设备在二层网络作为接入设备,则必须使能DHCP Snooping功能方可支持Option82功能。lOption82选项仅记录了DHCP用户的精确物理位置信息并通过DHCP请求报文中将该信息发送
给DHCP Server。而如果需要对不同的用户部署不同的地址分配或安全策略,则需DHCPServer支持Option82功能并在其上已配置了IP地址分配或安全策略。lOption82选项携带的用户位置信息与DHCP Snooping绑定表记录的用户参数是两个相互独立
的概念,没有任何关联。Option82选项携带的用户位置信息是在DHCP用户申请IP地址时(此时用户还未分配到IP地址),由设备添加到DHCP请求报文中。DHCP Snooping绑定表是在设备收到DHCP Server回应的DHCP Ack报文时(此时已为用户分配了IP地址),设备根据DHCP Ack报文信息自动生成。
实现
设备作为DHCP Relay或设备在二层网络作为接入设备并使能DHCP Snooping功能时均可支持Option82功能。使能设备的Option82功能有Insert和Rebuild两种方式,使能方式不同设备对DHCP请求报文的处理也不同。l
Insert方式:当设备收到DHCP请求报文时,若该报文中没有Option82选项,则插入Option82选项;若该报文中含有Option82选项,则判断Option82选项中是否包含remote-id,如果包含,则保持Option82选项不变,如果不包含,则插入remote-id。Rebuild方式:当设备收到DHCP请求报文时,若该报文中没有Option82选项,则插入Option82选项;若该报文中含有Option82选项,则删除该Option82选项并插入管理员自己在设备上配置的Option82选项。
l
对于Insert和Rebuild两种方式,当设备接收到DHCP服务器的响应报文时,处理方式一致。l
DHCP响应报文中有Option82选项:––
如果设备收到的DHCP请求报文中没有Option82选项,则设备将删除DHCP响应报文中的Option82选项,之后转发给DHCP Client。
如果设备收到的DHCP请求报文中有Option82选项,则设备将DHCP响应报文中的Option82选项格式还原为DHCP请求报文中的Option82选项,之后转发给DHCP Client。
lDHCP响应报文不含有Option82选项:直接转发。
11.3 应用场景
介绍DHCP Snooping的应用场景。
11.3.1 防止DHCP Server仿冒者攻击
攻击原理
由于DHCP Server和DHCP Client之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数。如果该DHCP服务器为用户分配错误的IP地址和其他网络参数,将会对网络造成非常大的危害。如图11-1所示,DHCP Discover报文是以广播形式发送,无论是合法的DHCP Server,还是非法的DHCP Server都可以接收到DHCP Client发送的DHCP Discover报文。
文档版本 06 (2017-09-12)
华为专有和保密信息
版权所有 ? 华为技术有限公司
277
CloudEngine 8800&7800&6800&5800 系列交换机配置指南-安全
11 DHCP Snooping配置
图11-1 DHCP Client发送DHCP Discover报文示意图DHCP pseudo server
SwitchDHCP serverDHCP client
DHCP Discover from DHCP Client
如果此时DHCP Server仿冒者回应给DHCP Client仿冒信息,如错误的网关地址、错误的DNS(Domain Name System)服务器、错误的IP等信息,如图11-2所示。DHCPClient将无法获取正确的IP地址和相关信息,导致合法客户无法正常访问网络或信息安全受到严重威胁。
图11-2 DHCP Server仿冒者攻击示意图DHCP pseudo server
SwitchDHCP serverDHCP client
DHCP reply from DHCP pseudo serverDHCP reply from DHCP server
解决方法
为了防止DHCP Server仿冒者攻击,可配置设备接口的“信任(Trusted)/非信任(Untrusted)”工作模式。
将与合法DHCP服务器直接或间接连接的接口设置为信任接口,其他接口设置为非信任接口。此后,从“非信任(Untrusted)”接口上收到的DHCP回应报文将被直接丢弃,这样可以有效防止DHCP Server仿冒者的攻击。如图11-3所示。
文档版本 06 (2017-09-12)
华为专有和保密信息
版权所有 ? 华为技术有限公司
278
华为数据中心5800交换机01-11 DHCP Snooping配置
