采用 DHCP server 可以自动为用户设置网络 IP 地址、掩码、网关、 DNS 、 WINS 等网络参数,简化了用户网络设置,提高了管理效率。但在 DHCP 管理使用上也存在着一些另网管人员比较问题,常见的有:
• DHCP server 的冒充。
• DHCP server 的 Dos 攻击。
• 有些用户随便指定地址,造成网络地址冲突。
由于 DHCP 的运作机制,通常服务器和客户端没有认证机制,如果网络上存在多台 DHCP 服务器将会给网络照成混乱。由于用户不小心配置了 DHCP 服务器引起的网络混乱非常常见,足可见故意人为破坏的简单性。通常黑客攻击是首先将正常的 DHCP 服务器所能分配的 IP 地址耗尽,然后冒充合法的 DHCP 服务器。最为隐蔽和危险的方法是黑客利用冒充的 DHCP 服务器,为用户分配一个经过修改的 DNS server ,在用户毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务网站,骗取用户帐户和密码,这种攻击是非常恶劣的。
对于 DHCP server 冒充和Dos 攻击可以利用DHCP snooping、IPSG、DAI 技术有效防止。
任务一: 启用DHCP监听
步骤1:在交换A和B上启用VLAN10的DHCP监听。因为cisco ios DHCP服务器不支持选项82,所以交换机A和B将禁用选项82的标记:// 82的标记----中继代理选项.
SwitchA#configure terminal
SwitchA(config)#ip dhcp snooping
SwitchA(config)#ip dhcp snooping vlan 10
SwitchA(config)#no ip dhcp snooping information
SwitchB#configure terminal
SwitchB(config)#ip dhcp snooping
SwitchB(config)#ip dhcp snooping vlan 10
SwitchB(config)#no ip dhcp snooping information
步骤2:在交换机A中,将与DHCP服务器相连接的接口配置为DHCP信任,在交换B中,将连接PC A和PC B的接口配置为DHCP非信任。此外,上行链路接口需要配置为DHCP监听信任.
SwitchA(config)#interface g 3/18
SwitchA(config-if)#ip dhcp snooping trust
SwitchA(config)#interface g3/18
SwitchA(config-if)#ip dhcp snooping trust
SwitchB(config)#interface f3/7
SwitchB(config-if)#no ip dhcp snooping trust
SwitchB(config)#interface f3/17
SwitchB(config-if)#no ip dhcp snooping trust
SwitchB(config)#interface g1/1
SwitchB(config-if)#ip dhcp snooping trust
步骤3: 在与PC A和PC B相连接的终端用户上配置IP源防护,以次实现验证IP地址的目的:
SwitchB(config-if)#interface fa 3/7
SwitchB(config-if)#ip verity source vlan dhcp-snooping
SwitchB(config-if)#interface fa 3/17
SwitchB(config-if)#ip verity source vlan dhcp-snooping
步骤4:配置DHCP服务器的静态IP源绑定,其在交换机A上的IP地址是10.10.1.101
SwitchA(config)#ip source binding 000a.4172.df7f vlan 10 10.10.1.101
步骤5:在交换机上A和B中配置VLAN10的DAI
SwitchA(config)#ip arp inspection vlan 10
SwitchB(config)#ip arp inspection vlan 10
步骤6:在交换机A和B中配置上行链路为DAI信任接口
SwitchA(config)#interface g 1/1
SwitchA(config-if)#ip arp inspection trust
SwitchB(config)#interface g 1/1
SwitchB(config-if)#ip arp inspection trust
任务二: 验证DHCP监听,IPSG和DAI状态
步骤1:在交换机A和交换B中验证DHCP监听状态和绑定表.
SwitchA#show ip dhcp snooping
步骤2:在交换机A和交换B中验证ip源防护绑定和状态:
SwitchA#show ip source binding
步骤3:在交换机A和交换B中验证DAI状态和统计信息:
SwitchA#show ip arp inspection
本文转自hexianguo 51CTO博客,原文链接:http://blog.51cto.com/xghe110/88740,如需转载请自行联系原作者