引言：用DHCP方式獲得IP地址的方法，經(jīng)常出現(xiàn)計算機(jī)終端獲得其他網(wǎng)段地址或因?yàn)榈刂窙_突導(dǎo)致不能正常上網(wǎng)的問題。遇到這類問題，我們應(yīng)該怎么辦呢？本文就要介紹一下如何綜合采用DHCP Snooping與ARP Detection技術(shù)來徹底解決這類問題。

筆者朋友維護(hù)的一個企業(yè)網(wǎng)（網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示），計算機(jī)終端均通過DHCP方式獲得IP地址。

最近，網(wǎng)內(nèi)經(jīng)常出現(xiàn)計算機(jī)終端獲得其他網(wǎng)段地址或者因地址沖突導(dǎo)致不能正常上網(wǎng)的問題。

經(jīng)查發(fā)現(xiàn)，獲得其他網(wǎng)段地址是由于網(wǎng)內(nèi)存在私自架設(shè)的DHCP服務(wù)器，導(dǎo)致DHCP客戶端獲取錯誤的IP地址和網(wǎng)絡(luò)配置參數(shù)；地址沖突則是因?yàn)椴糠钟嬎銠C(jī)私自配置了靜態(tài)地址造成與通過DHCP方式獲得IP的計算機(jī)地址沖突。

此類問題的頻繁發(fā)生，已經(jīng)嚴(yán)重影響了正常工作?？紤]到網(wǎng)內(nèi)均采用H3C s3600和s3100交換機(jī)，因此可以綜合采用DHCP Snooping與ARP Detection技術(shù)來徹底解決這類問題。

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

DHCP Snooping和ARP Detection技術(shù)介紹

1.DHCP Snooping

DHCP Snooping技術(shù)是DHCP的安全特性，通過建立和維護(hù)DHCP Snooping綁定表來過濾不可信任的DHCP信息。具有如下功能：

(1)保證客戶端從指定的DHCP服務(wù)器獲取IP地址。

DHCP Snooping安全機(jī)制允許將端口設(shè)置為信任端口和不信任端口。

信任端口正常轉(zhuǎn)發(fā)接收到的DHCP報文。不信任端口則在接收到DHCP服務(wù)器響應(yīng)的DHCP-ACK和DHCP-OFFER 報文后，丟棄該報文，從而屏蔽假冒的DHCP Server。

(2) 記錄DHCP客戶端IP地址與MAC 地址的對應(yīng)關(guān)系。

DHCP Snooping 通過監(jiān)聽DHCP-REQUEST和信任端口收到的DHCPACK廣播報文來記錄DHCP Snooping表 項(xiàng)，這些信息也可以作為ARP Detection判斷發(fā)送ARP報文的用戶合法與否的依據(jù)之一，從而防止非法用戶的ARP攻擊。

2.ARP Detection

ARP Detection功能主要應(yīng)用于接入設(shè)備上，只有合法用戶的ARP報文才能進(jìn)行正常轉(zhuǎn)發(fā)，否則直接丟棄，從而防止仿冒用戶、仿冒網(wǎng)關(guān)的攻擊。

ARP Detection包 含三個功能：用戶合法性檢查、ARP 報文有效性檢查、ARP 報文強(qiáng)制轉(zhuǎn)發(fā)。其中，用戶合法性檢查功能可以基于DHCP Snooping的安全表項(xiàng)進(jìn)行，作為判斷用戶是否合法的依據(jù)。

3.技術(shù)的使用

根據(jù)上述介紹，我們可以綜合采用這兩種技術(shù)來解決IP地址故障。

（1）利用 DHCP Snooping技術(shù)，解決DHCP Server私設(shè)問題。

將交換機(jī)上連接授權(quán)DHCP服務(wù)器的上行端口設(shè)為信任端口，保證轉(zhuǎn)發(fā)接收到的正常DHCP報文，其他設(shè)為非信任端口。這時，非信任端口會丟棄假冒DHCP Server的報文，從而解決了DHCP Server私設(shè)的問題。

（2）利用ARP Detection技術(shù)，對用戶進(jìn)行合法性檢查，解決私配靜態(tài)IP地址問題。

將連接授權(quán)DHCP服務(wù)器的上行端口設(shè)為ARP信任端口，此時不進(jìn)行用戶合法性檢查。其他端口設(shè)為ARP非信任端口，進(jìn)行用戶合法性檢查。由于已經(jīng)啟用了DHCP Snooping功能，因此，可以通過檢查DHCP Snooping的安全表項(xiàng)，排除非法私配靜態(tài)IP地址的用戶終端，確保用戶只能從指定DHCP Server獲得地址，最終解決IP地址沖突問題。

具體配置方法和命令

1.配置DHCP Snooping

（1）在全局模式下開啟dhcp-snooping功能（此功能開啟后，默認(rèn)所有接口為不信任端口）。

（2） 將連接授權(quán)DHCP服務(wù)器的上行端口GigabitEthernet1/1/1設(shè)為信任端口。

2.配置ARP Detection

（1）在用戶終端所屬VLAN300啟 用arp detection功能（此功能開啟后，此VLAN所有端口缺省為非信任狀態(tài)）。

（2）連接授權(quán)DHCP服務(wù)器的上行端口GigabitEthernet1/1/1設(shè)為信任狀態(tài)。

功能驗(yàn)證

網(wǎng)內(nèi)的其他交換機(jī)也按照上述方法配置后，此時網(wǎng)內(nèi)計算機(jī)終端只能從指定的DHCP服務(wù)器獲取IP地址，不能從私自架設(shè)的偽DHCP服務(wù)器獲取錯誤的IP地址配置信息。

用戶如果私配了靜態(tài)IP地址（即使配置了與DHCP服務(wù)器分配的IP地址一樣的靜態(tài)IP地址），也將不能正常上網(wǎng)，避免了地址沖突現(xiàn)象。

至此，通過綜合采用DHCP Snooping和ARP Detection技術(shù)，所有IP地址問題均得到有效解決。