产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机
查看交换机首页 >

无线

无线所有产品
< 返回产品
无线
查看无线首页 >

云桌面

云桌面产品方案中心
< 返回产品
云桌面
查看云桌面首页 >

安全

安全所有产品
< 返回产品
安全
查看安全首页 >
产品中心首页 >
行业
行业中心
< 返回主菜单
行业
行业中心首页 >

【交换机】配置DHCP SNOOPING的场景和功能原理是什么?

发布时间:2013-11-16
点击量:38250

应用场景:
DHCP Snooping:当你的网络中存在DHCP 服务器欺骗的时候就可以考虑采用这个功能,比如网络中有个别终端用的是window 2003,或者2008系统默认开启了DHCP分配IP的服务,或者是一些接入层的端口连接有TPLINK,DLINK这样的无线路由器,开启了DHCP分配IP的服务。我们推荐在用户接入层交换机上面部署该功能,越靠近PC端口控制的越准确,而每个交换机的端口推荐只连接一台PC,否则如果交换机某端口下串接一个HUB,在HUB上连接了若干PC的话,那么如果凑巧该HUB下发生DHCP欺骗,由于欺骗报文都在HUB端口间直接转发了,没有受到接入层交换机的DHCP snooping功能的控制,这样的欺骗就无法防止了。

DHCP Snooping通常配合IP Source Guard功能实现防止用户私设静态IP,防止用户伪造IP进行内网扫描攻击的安全功能,配合ARP-Check还能实现防范ARP欺骗的安全功能。

功能原理:

DHCP Snooping:意为DHCP 窥探,在一次PC动态获取IP地址的过程中,通过对Client和服务器之间的DHCP交互报文进行窥探,实现对用户的监控,同时DHCP Snooping起到一个DHCP 报文过滤的功能,通过合理的配置实现对非法服务器的过滤,防止用户端获取到非法DHCP服务器提供的地址而无法上网。

下边对DHCP Snooping 内使用到的一些术语及功能进行解释:
1) DHCP 请求报文:DHCP 客户端发往DHCP 服务器的报文。
2) DHCP 应答报文:DHCP 服务器发往DHCP 客户端的报文。
3) DHCP Snooping TRUST 口:由于DHCP 获取IP 的交互报文是使用广播的形式,从而存在着非法的DHCP 服务影响用户正常IP 的获取,更有甚者通过非法的DHCP 服务欺骗窃取用户信息的现象,为了防止非法的DHCP 服务的问题,DHCP Snooping 把端口分为两种类型,TRUST 口UNTRUST 口,设备只转发TRUST 口收到的DHCP 应答报文,而丢弃所有来自UNTRUST 口的DHCP 应答报文,这样我们把合法的DHCP Server 连接的端口设置为TRUST 口,则其他口为UNTRUST 口,就可以实现对非法DHCP Server 的屏蔽。
4) DHCP Snooping 报文过滤:在对个别用户禁用DHCP 报文的情况下,需要评估用户设备发出的任何DHCP 报文,那么我们可以在端口模式下配置DHCP 报文过滤功能,过滤掉该端口收到的所有DHCP 报文。
5) DHCP Snooping 绑定数据库:在DHCP 环境的网络里经常会出现用户随意设置静态IP 地址的问题,用户随意设置的IP 地址不但使网络难以维护,而且会导致一些合法的使用DHCP 获取IP 的用户因为冲突而无法正常使用网络,DHCP Snooping 通过窥探Client 和Server 之间交互的报文,把用户获取到的IP 信息以及用户MAC、VID、PORT、租约时间等信息组成用户记录表项,从而形成DHCP Snooping 的用户数据库,配合ARP 检测功能或ARP CHECK功能的使用,进而达到控制用户合法使用IP 地址的目的。
 

相关产品

返回顶部

请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式