實(shí)現(xiàn)控制只能獲取企業(yè)內(nèi)部合法的DHCP服務(wù)分配的地址，而其余的DHCP服務(wù)器則不能通過。

說明：為什么需要該技術(shù)呢，因?yàn)镈HCP的工作原理是最先響應(yīng)的服務(wù)器，PC就獲取該服務(wù)器分配的IP地址，這樣的話有些惡意的人把網(wǎng)關(guān)指向自己的電腦，然后通過抓包工具等實(shí)現(xiàn)抓包分析等功能，這樣造成不安全，另外就是網(wǎng)段不一致了，導(dǎo)致訪問公司內(nèi)網(wǎng)或外網(wǎng)出現(xiàn)問題，所以我們必須杜絕該問題的出現(xiàn)。

正常情況下，內(nèi)網(wǎng)的用戶都是通過內(nèi)部部署的服務(wù)集集群正確獲取到IP地址，但是如果有一個(gè)人無(wú)意或者惡意的放了一臺(tái)設(shè)備在接入層，而該設(shè)備正好附帶DHCP功能【比如無(wú)線路由器等】，那么導(dǎo)致下面的用戶都會(huì)獲取到該服務(wù)器提供的地址段，而不是內(nèi)部規(guī)劃好的。

當(dāng)有惡意DHCP服務(wù)器出現(xiàn)的時(shí)候【查看】

可以看到這次獲得了172.16.1.0網(wǎng)段，這個(gè)就是通過惡意的DHCP服務(wù)器提供的。那么導(dǎo)致的結(jié)果就是

訪問都失敗。

解決辦法

（1）全局 DHCP Snooping功能

[boss]dhcp enable

[boss]dhcp snooping enable

（2）面向用戶的接口開啟DHCP Snooping功能

[boss]port-group 1

[boss-port-group-1]dhcp snooping enable

說明：該接口組之前已經(jīng)定義過了，可以直接在里面調(diào)用即可。

（3）上聯(lián)接口【連接DHCP服務(wù)器接口】開啟Trust功能

[boss]port-group 2

[boss-port-group-2]dhcp snooping trusted

說明：上聯(lián)接口之前定義在port-group2中，開啟即可，注意這里連接核心A與B接口都需要開啟。

（4）測(cè)試結(jié)果

可以看到Renew一下后，又正常獲取到了IP地址了。

說明：DHCP Snooping的工作原理就是當(dāng)開啟DHCP Snooping功能后，接口處于Trust的狀態(tài)則接收對(duì)應(yīng)的DHCP ACK與Offer包，而其余接口默認(rèn)處于Untrust中，所以會(huì)丟棄這些包。

可以看到有動(dòng)態(tài)的表項(xiàng)，后續(xù)的安全部署可以根據(jù)這表項(xiàng)來進(jìn)行安全控制。

部署用戶只能通過DHCP獲取的情況下，能夠訪問內(nèi)網(wǎng)與外網(wǎng)，而人為定義則不行。

說明：有時(shí)候客戶會(huì)私自定義IP地址，但是客戶又不是非常懂，那么導(dǎo)致可能與網(wǎng)關(guān)或者其他PC的地址沖突了，所以我們這里必須杜絕該種情況出現(xiàn)，必須通過DHCP獲取地址才能訪問內(nèi)網(wǎng)與外網(wǎng)。

手動(dòng)定義地址，進(jìn)行訪問。

可以看到可以正常訪問。

解決辦法

開啟DAI功能+ip source guead

（1）部署DAI

[boss]port-group 1

[boss-port-group-1]arp anti-attack check user-bind enable

說明：默認(rèn)是檢查IP 、MAC、VLAN信息，可以修改arp anti-attack check user-bind check-item ip-address mac-address vlan

可以看到當(dāng)自己定義IP地址后，會(huì)不訪問。

（2）部署ip source guead

說明：為什么需要部署IP source guead呢，因?yàn)镈AI有一個(gè)因?yàn)榇嬖?，DAI的功能是在PC第一次訪問的時(shí)候，需要放松ARP信息，而DAI就是檢測(cè)ARP信息的，如果本地沒有對(duì)應(yīng)DHCP Snooping表項(xiàng)，就丟棄ARP報(bào)文。那么如果客戶知道了網(wǎng)關(guān)的MAC 地址，然后手工定義一個(gè)ARP【對(duì)于懂一點(diǎn)技術(shù)的人來說，也是非常簡(jiǎn)單的?！?/p>

比如手動(dòng)指定了一個(gè)靜態(tài)映射

可以看到就可以訪問了。

[boss]port-group 1

[boss-port-group-1]ip source check user-bind enable

說明：開啟ip source功能，檢查，它會(huì)根據(jù)DHCP Snooping表項(xiàng)來檢查數(shù)據(jù)包的IP、MAC、VLAN是否與綁定表有，如果沒有就丟棄。

可以看到，就直接丟棄了。

（3）靜態(tài)綁定表項(xiàng)

說明：為什么需要靜態(tài)綁定呢，因?yàn)橛袝r(shí)候有些打印機(jī)之類的是固定IP地址，所以必須允許它們通過。

[boss]user-bind static ip-address 192.168.44.1 mac-address 4422-1111-3423 vlan 40

添加一個(gè)靜態(tài)表項(xiàng)，這樣就可以通過了。

可以看到?jīng)]問題了。

如果大家有任何疑問或者文中有錯(cuò)誤跟疏忽的地方，歡迎大家留言指出，博主看到后會(huì)第一時(shí)間修改，謝謝大家的支持，更多技術(shù)文章盡在網(wǎng)絡(luò)之路Blog，版權(quán)歸網(wǎng)絡(luò)之路Blog所有，原創(chuàng)不易，侵權(quán)必究。

上一篇回顧

下一篇學(xué)習(xí)

23、華為 華三中小型企業(yè)網(wǎng)絡(luò) 端口隔離與MAC地址認(rèn)證