引言： 在企業(yè)的日常網(wǎng)絡(luò)管理中，網(wǎng)絡(luò)運(yùn)維存在的一個(gè)問題主要集中在如何管理好用戶PC終端接入的IP地址和MAC地址，同時(shí)對(duì)端口進(jìn)行實(shí)時(shí)數(shù)據(jù)流量的監(jiān)測(cè)，以防止內(nèi)部網(wǎng)絡(luò)出現(xiàn)DHCP攻擊或ARP（Address Resolution Protocol，地址解析協(xié)議）攻擊。若企業(yè)的網(wǎng)絡(luò)管理者能夠清晰地了解這些網(wǎng)絡(luò)接入設(shè)備的信息，對(duì)于內(nèi)部電腦“誤開啟”DHCP Server服務(wù)或者內(nèi)部PC中了病毒造成的ARP攻擊造成了網(wǎng)絡(luò)癱瘓時(shí)，網(wǎng)管員就可以更輕松地去處理解決。

如今，很多企業(yè)的網(wǎng)絡(luò)交換設(shè)備都開啟了DHCP功能，當(dāng)PC終端通過RJ45接口接入網(wǎng)絡(luò)設(shè)備后，可以自動(dòng)從DHCP Server獲取一個(gè)IP地址用于連接到內(nèi)部局域網(wǎng)或通過路由器接入Internet，此時(shí)的接入設(shè)備的接口便自動(dòng)識(shí)別并綁定了當(dāng)前接入終端的MAC地址，但由于處于接入端的設(shè)備運(yùn)行在數(shù)據(jù)鏈路層中，在其轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)里并不能封裝當(dāng)前分配的IP地址，因此往往在調(diào)查其IP地址時(shí)還需要從三層交換設(shè)備中的ARP表中查詢，一旦遭受ARP攻擊，可能所有的接入設(shè)備會(huì)出現(xiàn)不能動(dòng)態(tài)獲取到IP地址的情況，設(shè)備中的ARP表也會(huì)出現(xiàn)錯(cuò)亂，造成企業(yè)的業(yè)務(wù)癱瘓甚至造成數(shù)據(jù)泄露。因此為了降低出現(xiàn)這種情況的概率，可以使用華為交換設(shè)備的DHCP snooping相關(guān)命令來控制每一個(gè)接入設(shè)備的接入權(quán)限，防止惡意的數(shù)據(jù)包干擾網(wǎng)絡(luò)網(wǎng)絡(luò)設(shè)備。（注：在本文的華為交換機(jī)案例中，DHCP Server為三層核心交換機(jī)）

當(dāng)然現(xiàn)階段也有非常多分配靜態(tài)IP來上網(wǎng)的企業(yè)，一般情況下都會(huì)使用MAC+IP或MAC+IP+端口綁定來統(tǒng)一管理，靜態(tài)分配的IP地址在網(wǎng)絡(luò)設(shè)備中不會(huì)觸發(fā)DHCP snooping用戶綁定表的更新，只會(huì)在三層交換機(jī)中的arp表項(xiàng)中更新。這種管理方式安全性較高，但如此管理需要較多的人員來維護(hù)，每一位員工的接入設(shè)備都要關(guān)聯(lián)一個(gè)IP地址，對(duì)實(shí)時(shí)維護(hù)此表項(xiàng)的效率要求高，對(duì)于一般大于百人的企業(yè)并不是很適用。

D H C P Snooping包含了非常多的擴(kuò)展命令，它的主要功能是將交換機(jī)的接口分為兩類，信任接口和非信任接口，開啟DHCP Snooping功能后，交換機(jī)開始對(duì)每一個(gè)端口進(jìn)行監(jiān)聽，針對(duì)DHCP報(bào)文，非信任接口只能夠轉(zhuǎn)發(fā)DHCP請(qǐng)求報(bào)文，丟棄掉其他DHCP報(bào)文，信任接口可以發(fā)送DHCP offer、ACK、NAK報(bào)文，這樣可以對(duì)信任端口下的合法DHCP服務(wù)器發(fā)出的報(bào)文進(jìn)行保護(hù)，防止“假”的DHCP服務(wù)器干擾網(wǎng)絡(luò)運(yùn)行環(huán)境。在用戶通過合法DHCP Server獲得一個(gè)IP地址后，交換機(jī)會(huì)建立一個(gè)用戶綁定表，以保存接入設(shè)備的IP地址、MAC地址、端口號(hào)、VLAN號(hào)、地址租約期等信息，通過此表管理員可以開啟端口IP檢測(cè)（IPSG）或動(dòng)態(tài)ARP檢測(cè)（DAI）來禁止使用非法IP地址的人員接入內(nèi)部網(wǎng)絡(luò)。以下通過一個(gè)配置實(shí)例對(duì)DHCP snooping的功能做一個(gè)具體說明。（華為設(shè)備配置案例）在企業(yè)的網(wǎng)絡(luò)中，禁止用戶自行使用靜態(tài)IP的方式上網(wǎng)：

不僅檢測(cè)IP報(bào)文方式可以實(shí)現(xiàn)這個(gè)功能，同樣的也可以檢測(cè)arp報(bào)文實(shí)現(xiàn)用養(yǎng)的功能，命令如下：

上邊檢查arp報(bào)文的命令經(jīng)過筆者的測(cè)試，發(fā)現(xiàn)它的響應(yīng)速度比IP檢測(cè)要慢一些，推斷是因?yàn)閍rp表項(xiàng)需要一定的老化時(shí)間，導(dǎo)致交換機(jī)不能及時(shí)地發(fā)現(xiàn)用戶綁定表項(xiàng)已經(jīng)被清除。

通過DHCP獲取到IP地址后，接入交換機(jī)會(huì)記錄下接入設(shè)備的MAC地址和IP地址的綁定表，可用以下命令查看：

此時(shí)如果不能查詢到用戶綁定表信息的話，有可能是因?yàn)榻尤朐O(shè)備還沒有發(fā)送續(xù)租的報(bào)文，一般情況下，續(xù)租報(bào)文會(huì)在當(dāng)前租約期還剩下50%的時(shí)候發(fā)送，當(dāng)續(xù)租報(bào)文發(fā)送出后，接入交換機(jī)會(huì)立刻將用戶綁定表進(jìn)行更新。若不想等待接入設(shè)備自動(dòng)發(fā)送續(xù)租報(bào)文，可以在接入PC的管理員模式下運(yùn)行cmd（命令提示符）在命令行中輸入“ipconfig /registerdns” 系統(tǒng)會(huì)自動(dòng)刷新所有 DHCP 租約并重新注冊(cè) DNS 名稱。除了PC之外的設(shè)備可以將下行口進(jìn)行shutdown然后undo shutdown，大部分設(shè)備都會(huì)觸發(fā)發(fā)送DHCP租約報(bào)文。另外筆者發(fā)現(xiàn)，在用戶綁定表中同時(shí)標(biāo)記了每一個(gè)接入設(shè)備IP地址租約的釋放到期時(shí)間，針對(duì)這個(gè)情況筆者嘗試將接入交換機(jī)時(shí)間調(diào)快了一分鐘，發(fā)現(xiàn)此表項(xiàng)被立即刷新，由于表項(xiàng)刷新，交換機(jī)在檢查此表時(shí)查不到任何設(shè)備信息，因此所有接入這個(gè)交換機(jī)的設(shè)備都斷開了連接，此時(shí)解決辦法可以將交換機(jī)所有接口全部重啟一遍，或者將接入終端網(wǎng)卡禁用、重新插網(wǎng)線均可重新連接上網(wǎng)絡(luò)。通過這個(gè)例子在這里要提醒各位讀者，為了保證網(wǎng)絡(luò)連接的穩(wěn)定，交換機(jī)的系統(tǒng)時(shí)間不可以輕易去修改。顯然修改時(shí)間刷新這個(gè)表項(xiàng)只是一個(gè)筆者進(jìn)行的一個(gè)測(cè)試，通過使用如下命令也是可以直接清除這個(gè)表項(xiàng)的：

resetdhcp snooping user-bind + 接口or IP地址 or VLAN號(hào)or 直接回車（清除全部）

同樣針對(duì)DHCP Snooping命令，在思科交換機(jī)中，筆者通過GNS3模擬器進(jìn)行了模擬調(diào)試，并簡(jiǎn)要介紹一下使用DHCP Snooping命令來防止三種DHCP攻擊的方法：

開啟此功能后，默認(rèn)交換機(jī)所有的接口都處于DHCP Snooping 的 untrust區(qū)域，因此屏蔽掉了接入這些端口的DHCP服務(wù)器發(fā)出的offer、ack和nak報(bào)文。所以若想在這些接口中配置DHCP server，需要在服務(wù)器接入的端口配置如下命令：

將交換機(jī)連接合法的DHCP服務(wù)器的端口設(shè)置為trust模式后，該端口放行DHCP Server的相關(guān)報(bào)文，使得該服務(wù)器可以正常工作，通過這樣配置預(yù)防了DHCP的仿冒攻擊。

餓死攻擊是通過非法的DHCP服務(wù)器截取到合法的DHCP服務(wù)器的MAC地址后，通過發(fā)送discovery報(bào)文強(qiáng)行多次進(jìn)行IP地址的獲取，最終導(dǎo)致DHCP地址池資源耗盡，正常的用戶不能獲取IP地址導(dǎo)致網(wǎng)絡(luò)癱瘓的攻擊。對(duì)于DHCP的餓死攻擊可以通過命令：

泛洪攻擊是通過攻擊者在單位時(shí)間內(nèi)通過廣播向合法的DHCP服務(wù)器大量發(fā)送DHCP discover 報(bào)文，導(dǎo)致合法的服務(wù)器不能接受如此多的請(qǐng)求信息而癱瘓的攻擊。對(duì)于泛洪攻擊可以限制每秒鐘交換機(jī)接口轉(zhuǎn)發(fā)的DHCP discover報(bào)文數(shù)量來防范，命令如下：

以上兩個(gè)配置案例看出，通過使用DHCP snooping相關(guān)命令可以幫助管理員在管理MAC與IP地址上有一個(gè)很大的幫助，同時(shí)能夠防御針對(duì)DHCP的幾種攻擊，在一定程度上保證了企業(yè)網(wǎng)絡(luò)的安全與穩(wěn)定。