华为 DHCP、DHCP中继、DHCP snooping

艺博东 2021-03-02 02:32:36 5114

哈喽,大家好!我是艺博东,是一个思科出身、专注于华为的网工;好了,话不多说,我们直接进入正题。

一、DHCP 拓扑

二、DHCP 基础配置

R1

[Huawei]sysname R1
[R1]dhcp enable 
[R1]ip pool 160
[R1-ip-pool-160]gateway-list 192.168.160.1
[R1-ip-pool-160]network 192.168.160.0 mask 255.255.255.0
[R1-ip-pool-160]lease day 3 hour 0 minute 0
[R1-ip-pool-160]dns-list 114.114.114.114
[R1-ip-pool-160]q
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address  192.168.160.1 24
[R1-GigabitEthernet0/0/0]q
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]dhcp select global 
[R1-GigabitEthernet0/0/0]q

三、DHCP 测试

PC1

选择DHCP--->右下角点击“应用”

输入ipconfig

由以上输出结果可知,已成功获取。

测试连通性
PC>ping 192.168.160.1

已ping通。

抓包


DHCP客户端获取地址的过程,分为四个阶段:发现阶段,提供阶段,选择阶段,确认阶段。

(1)发现阶段

首先是DHCP客户发起DHCP Discover报文来寻找DHCP服务器。由于DHCP服务器的IP地址对于客户端来说是未知的,所以DHCP客户端以广播方式发送DHCP Discover报文。所有收到DHCP Discover报文的DHCP服务器都会发送回应报文,DHCP客户端据此可以知道网络中存在的DHCP服务器的位置。


它的源地址为0.0.0.0,目的地址为255.255.255.255。

DHCP报文的广播标志字段(flags),当标志字段的最高位为0时,表示客户端希望服务器以单播方式发送DHCP Offer/DHCP Ack报文;当标志字段的最高位为1时,表示客户端希望服务器以广播方式发送DHCP Offer/DHCP Ack报文。

option 53 消息类型
option 61 DHCP 客户端 ID
option 55 请求的参数

(2)提供阶段

网络中接收到DHCP Discover报文的DHCP服务器,会从地址池选择一个合适的 IP 地址,连同 IP 地址租约期限和其他配置信息通过DHCP Offer报文发送给DHCP客户端。

它的源地址为192.168.160.1(DHCP 服务器的地址),目的地址为192.168.160.254(分配给DHCP客户端的IP地址)。

option 53 消息类型
option 1 子网掩码
option 3 网关地址
option 6 DNS服务器的地址
option 51 租期时间
option 59 87.5%会续租时间
option 58 50%会续租时间
option 54 DHCP 服务器 ID

option 53 消息类型

option 1 子网掩码

option 3 网关地址

option 6 DNS服务器的地址

option 51 租期时间

option 59 87.5%会续租时间

option 58 50%会续租时间

option 54 DHCP 服务器 ID

(3)选择阶段

如果有多台 DHCP 服务器向 DHCP 客户端回应 DHCP Offer 报文,则 DHCP 客户端只接收第一个收到的 DHCP Offer报文。然后以广播方
式发送 DHCP Request请求报文,该报文中包含服务器标识选项,即它选择的 DHCP 服务器的 IP 地址信息。


它的源地址为0.0.0.0(DHCP 服务器的地址),目的地址为255.255.255.255(分配给DHCP客户端的IP地址)。

option 53 消息类型
option 54 DHCP 服务器 ID
option 50 请求的IP地址
option 61 DHCP 客户端 ID
option 55 请求的参数

(4)确认阶段

当 DHCP 服务器收到 DHCP 客户端回答的 DHCP Request报文后,DHCP 服务器会根据 DHCP Request报文中携带的 MAC 地址来查找有没有相应的租约记录。如果有,则向客户端发送包含它所提供的 IP 地址和其它设置的 DHCP Ack 确认报文。DHCP 客户端收到该确认报文后,会以广播的方式发送免费 ARP 报文,探测是否有主机使用服务器分配的 IP 地址,如果在规定的时间内没有收到回应,客户端才使用此地址。


它的源地址为192.168.160.1(DHCP 服务器的地址),目的地址为192.168.160.254(分配给DHCP客户端的IP地址)。

DHCP Release 报文是主动释放服务器分配给它的IP地址。

四、DHCP中继

4.1 定义

DHCP Relay 即 DHCP 中继,它实现了不同网段间的 DHCP 服务器和客户端之间的报文交互。

4.2 作用

DHCP 中继承担处于不同网段间的 DHCP 客户端和服务器之间中继服务,将 DHCP 协议报文跨网段透传到目的 DHCP 服务器,最终使网络上的 DHCP 客户端可以共同使用一个 DHCP 服务器。

五、DHCP中继 拓扑

六、DHCP中继 基础配置

R1

[R1]dhcp enable
[R1]ip pool 200
[R1-ip-pool-200]gateway-list 192.168.200.254
[R1-ip-pool-200]network 192.168.200.0 mask 255.255.255.0
[R1-ip-pool-200]lease day 3 hour 0 minute 0
[R1-ip-pool-200]dns-list 114.114.114.114
[R1-ip-pool-200]q
[R1]ip pool 100
[R1-ip-pool-100]gateway-list 192.168.100.254
[R1-ip-pool-100]network 192.168.100.0 mask 255.255.255.0
[R1-ip-pool-100]lease day 3 hour 0 minute 0
[R1-ip-pool-100]dns-list 114.114.114.114
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.160.1 255.255.255.0
[R1-GigabitEthernet0/0/0]dhcp select global
[R1-GigabitEthernet0/0/0]q
[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.160.2

R2

[R2]dhcp enable
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip address 192.168.160.2 255.255.255.0
[R2-GigabitEthernet0/0/0]q
[R2]vlan batch 100 200
[R2]int g0/0/1.100
[R2-GigabitEthernet0/0/1.100]dot1q termination vid 100
[R2-GigabitEthernet0/0/1.100]ip address 192.168.100.254 255.255.255.0
[R2-GigabitEthernet0/0/1.100]arp broadcast enable
[R2-GigabitEthernet0/0/1.100]dhcp select relay
[R2-GigabitEthernet0/0/1.100]dhcp relay server-ip 192.168.160.1
[R2-GigabitEthernet0/0/1.100]q
[R2]int g0/0/1.200
[R2-GigabitEthernet0/0/1.200]dot1q termination vid 200
[R2-GigabitEthernet0/0/1.200]ip address 192.168.200.254 255.255.255.0
[R2-GigabitEthernet0/0/1.200]arp broadcast enable
[R2-GigabitEthernet0/0/1.200]dhcp select relay
[R2-GigabitEthernet0/0/1.200]dhcp relay server-ip 192.168.160.1
[R2-GigabitEthernet0/0/1.200]q
[R2]ip route-static 0.0.0.0 0.0.0.0 192.168.160.1

LSW1

[Huawei]sysname LSW1
[LSW1]vlan batch 100 200 
[LSW1]dhcp enable 
[LSW1]int g0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type trunk
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all 
[LSW1-GigabitEthernet0/0/1]int g0/0/2
[LSW1-GigabitEthernet0/0/2]p l a 
[LSW1-GigabitEthernet0/0/2]port default vlan 200
[LSW1-GigabitEthernet0/0/2]int g0/0/3
[LSW1-GigabitEthernet0/0/3]p l a 
[LSW1-GigabitEthernet0/0/3]port default vlan 100
[LSW1-GigabitEthernet0/0/3]q
[LSW1]int Vlanif 200
[LSW1-Vlanif200]ip address 192.168.200.254 255.255.255.0
[LSW1-Vlanif200]dhcp select relay
[LSW1-Vlanif200]dhcp relay server-ip 192.168.160.1
[LSW1-Vlanif200]q
[LSW1]int Vlanif 100
[LSW1-Vlanif100]ip address 192.168.100.254 255.255.255.0
[LSW1-Vlanif100]dhcp select relay 
[LSW1-Vlanif100]dhcp relay server-ip 192.168.160.1

七、DHCP中继 测试

PC5

PC>ipconfig

已成功获取IP地址

PC6

PC>ipconfig


已成功获取IP地址

PC5 PING 测 PC6

PC>ping 192.168.100.252

由以上输出结果可知,可PING测通。

抓包


DHCP Discover

DHCP Offer

DHCP request


DHCP Ack

八、DHCP snooping

8.1 定义

DHCP Snooping是DHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获得IP地址,并记录DHCP客户端IP地址与MAC地址 等参数的对应关系,防止网络上针对DHCP服务的攻击。

8.2 基本功能:

(1)信任功能:能够保证客户端从合法的服务器获取 IP 地址。DHCP Snooping 信任功能将接口分为信任接口和非信任接口:
a)信任接口正常接收 DHCP 服务器响应的DHCP ACK、DHCP NAK 和 DHCP Offer报文。
b)非信任接口在接收到 DHCP 服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文后,丢弃该报文。

8.3 应用场景

(1)防止DHCP服务器的仿冒者攻击

攻击原理:由于 DHCP Server 和 DHCP Client 之间没有认证机制,所以如果在网络上随意添加一台 DHCP 服务器,它就可以为客户端分配 以及其他网络参数。如果该 DHCP 服务器为用户分配错误的 IP 地址和其他网络参数,将会对网络造成非常大的危害。
解决方法:为了防止 DHCP Server 仿冒者攻击,可配置设备接口的“信任(Trusted)/非信任(Untrusted)”工作模式。将与合法 DHCP 服
务器直接或间接连接的接口设置为信任接口,其他接口设置为非信任接口。此后,从“非信任(Untrusted)”接口上收到的 DHCP 回应报文将被直接丢弃,这样可以有效防止 DHCP Server 仿冒者的攻击。

[LSW1]int g0/0/1
[LSW1-GigabitEthernet0/0/1]dhcp snooping enable 
[LSW1-GigabitEthernet0/0/1]dhcp snooping trusted

(2)防止DHCP报文泛洪攻击

攻击原理:在DHCP网络环境中,若存在DHCP用户短时间内向设备发送大量的DHCP报文,将会对设备的性能造成巨大的冲击以致可能会导致设备无法正常工作。

解决方法:通过使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能将能够有效防止DHCP报文泛洪攻击。

[LSW1]dhcp snooping enable 
[LSW1]dhcp snooping check dhcp-rate enable
[LSW1]vlan 100
[LSW1-vlan100]dhcp snooping check dhcp-rate enable

(3)防止DHCP服务器拒绝服务攻击(饿死攻击)

攻击原理:若R2设备接口 int g0/0/1下存在大量攻击者恶意申请 IP 地址,会导致 DHCP Server 中 IP 地址快速耗尽而不能为其他合法用户提
供 IP 地址分配服务。另一方面,DHCP Server 通常仅根据 DHCP Request报文中的 CHADDR(Client Hardware Address)字段来确认客户端的MAC 地址。如果某一攻击者通过不断改变 CHADDR字段向 DHCP Server申请 IP 地址,同样将会导致 DHCP Server 上的地址池被耗尽,从而无法为其他正常用户提供 IP 地址。

解决方法:限制SW的每个接口下PC通过DHCP获取地址的数量

[R2]dhcp snooping max-user-number 100
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]dhcp snooping max-user-number 100

(4)防止仿冒DHCP报文攻击

攻击原理:在DHCP中,若攻击者仿冒合法用户的DHCP Request报文发往DHCP Server,将会导致用户的IP地址租约到期之后不能够及时释放,以致合法用户无法使用该IP地址,若攻击者仿冒合法用户的DHCP Release报文发往DHCP Server,将会导致用户异常下线。

解决方法:为了有效的防止仿冒 DHCP 报文攻击,可利用 DHCP Snooping 绑定表的功能。设备通过将 DHCP Request 续租报文和 DHCP Release 报文与绑定表进行匹配操作能够有效的判别报文是否合法(主要是检查报文中的 VLAN、IP、MAC、接口信息是否匹配动态绑定表),若匹配成功则转发该报文,匹配不成功则丢弃。

[LSW1]dhcp snooping check dhcp-request enable vlan 100
[LSW1]dhcp snooping alarm threshold 100
[LSW1]int g0/0/2
[LSW1-GigabitEthernet0/0/2]dhcp snooping alarm dhcp-request threshold 100
[LSW1]vlan 100
[LSW1-vlan100]dhcp snooping check dhcp-request enable

(5)防止非DHCP用户攻击

手动配置IP地址的的用户的数据 SW不会转发

PC5 的 MAC-address:54-89-98-2E-1E-95

[R1-ip-pool-200]static-bind ip 192.168.200.99 mac-address 5489-982E-1E95


OK,本期就到这里了。

《周易》
天行健,君子以自强不息;地势坤,君子以厚德载物。


好了这期就到这里了,如果你喜欢这篇文章的话,请点赞评论分享收藏,如果你还能点击关注,那真的是对我最大的鼓励。谢谢大家,下期见!

声明:本文内容由易百纳平台入驻作者撰写,文章观点仅代表作者本人,不代表易百纳立场。如有内容侵权或者其他问题,请联系本站进行删除。
红包 96 8 评论 打赏
评论
0个
内容存在敏感词
手气红包
    易百纳技术社区暂无数据
相关专栏
置顶时间设置
结束时间
删除原因
  • 广告/SPAM
  • 恶意灌水
  • 违规内容
  • 文不对题
  • 重复发帖
打赏作者
易百纳技术社区
艺博东
您的支持将鼓励我继续创作!
打赏金额:
¥1易百纳技术社区
¥5易百纳技术社区
¥10易百纳技术社区
¥50易百纳技术社区
¥100易百纳技术社区
支付方式:
微信支付
支付宝支付
易百纳技术社区微信支付
易百纳技术社区
打赏成功!

感谢您的打赏,如若您也想被打赏,可前往 发表专栏 哦~

举报反馈

举报类型

  • 内容涉黄/赌/毒
  • 内容侵权/抄袭
  • 政治相关
  • 涉嫌广告
  • 侮辱谩骂
  • 其他

详细说明

审核成功

发布时间设置
发布时间:
是否关联周任务-专栏模块

审核失败

失败原因
备注
拼手气红包 红包规则
祝福语
恭喜发财,大吉大利!
红包金额
红包最小金额不能低于5元
红包数量
红包数量范围10~50个
余额支付
当前余额:
可前往问答、专栏板块获取收益 去获取
取 消 确 定

小包子的红包

恭喜发财,大吉大利

已领取20/40,共1.6元 红包规则

    易百纳技术社区