網(wǎng)絡(luò)治理員：現(xiàn)在用戶真是不省心，自己改個(gè)ip地址；私接AP、忘關(guān)DHCP，還有的下個(gè)小黑客程序，就想在你內(nèi)網(wǎng)里試試。單靠交換機(jī)能管嗎？

    測(cè)試工程師：能！很多交換機(jī)上的小功能都可幫大忙。

    測(cè)試實(shí)況：

    IP與MAC綁定

    思科的Catalyst 3560交換機(jī)支持DHCP Snooping功能，交換機(jī)會(huì)監(jiān)聽DHCP的過(guò)程，交換機(jī)會(huì)生成一個(gè)IP和MAC地址對(duì)應(yīng)表。思科的交換機(jī)更進(jìn)一步的支持IP source guard和Dynamic ARP Inspection功能，這兩個(gè)功能任啟一個(gè)都可以自動(dòng)的根據(jù)DHCP Snooping監(jiān)聽獲得的IP和MAC地址對(duì)應(yīng)表，進(jìn)行綁定，防止私自更改地址。

    Dynamic ARP Inspection功能還有一個(gè)好處是可以防范在2層網(wǎng)絡(luò)的中間人攻擊（見圖4）。

    思科在DHCP Snooping上還做了一些非常有益的擴(kuò)展功能，比如Catalyst 3560交換機(jī)可以限制端口通過(guò)的DHCP數(shù)據(jù)包的速率，粒度是pps，這樣可以防止對(duì)DHCP服務(wù)器的進(jìn)行地址請(qǐng)求的DoS攻擊。另外Catalyst 3560交換機(jī)還支持DHCP Tracker，在DHCP請(qǐng)求中插入交換機(jī)端口的ID，從而限制每個(gè)端口申請(qǐng)的IP地址數(shù)目，防止黑客程序?qū)HCP服務(wù)器進(jìn)行目的為耗盡IP地址池的攻擊。華碩雖然不能調(diào)整速率，但是也會(huì)限制DHCP請(qǐng)求的數(shù)量。

    DHCP（動(dòng)態(tài)主機(jī)配置協(xié)議）是一種簡(jiǎn)化主機(jī)IP地址配置治理的TCP/IP標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)為DHCP服務(wù)器的使用提供了一種有效的方法：即治理網(wǎng)絡(luò)中客戶機(jī)IP地址的動(dòng)態(tài)分配以及啟用網(wǎng)絡(luò)上DHCP客戶機(jī)的其它相關(guān)配置信息。

    在基于TCP／IP協(xié)議的網(wǎng)絡(luò)中，每臺(tái)計(jì)算機(jī)都必須有唯一的IP地址才能訪問(wèn)網(wǎng)絡(luò)上的資源，網(wǎng)絡(luò)中計(jì)算機(jī)之間的通信是通過(guò)IP地址來(lái)實(shí)現(xiàn)的，并且通過(guò)IP地址和子網(wǎng)掩碼來(lái)標(biāo)識(shí)主計(jì)算機(jī)及其所連接的子網(wǎng)。在局域網(wǎng)中假如計(jì)算機(jī)的數(shù)量比較少，當(dāng)然可以手動(dòng)設(shè)置其IP地址，但是假如在計(jì)算機(jī)的數(shù)量較多并且劃分了多個(gè)子網(wǎng)的情況下，為計(jì)算機(jī)配置IP地址所涉及的治理員工作量和復(fù)雜性就會(huì)相當(dāng)繁重，而且輕易出錯(cuò)，如在實(shí)際使用過(guò)程中，我們經(jīng)常會(huì)碰到因IP地址沖突、網(wǎng)關(guān)或DNS服務(wù)器地址的設(shè)置錯(cuò)誤導(dǎo)致無(wú)法訪問(wèn)網(wǎng)絡(luò)、機(jī)器經(jīng)常變動(dòng)位置而不得不頻繁地更換IP地址等問(wèn)題。

    DHCP則很好地解決了上述的問(wèn)題，通過(guò)在網(wǎng)絡(luò)上安裝和配置DHCP服務(wù)器，啟用了DHCP的客戶機(jī)可在每次啟動(dòng)并加入網(wǎng)絡(luò)時(shí)自動(dòng)地獲得其上網(wǎng)所需的IP地址和相關(guān)的配置參數(shù)。從而減少了配置治理，提供了安全而可靠的配置。

    配置DHCP服務(wù)的服務(wù)器可以為每一個(gè)網(wǎng)絡(luò)客戶提供一個(gè)IP地址、子網(wǎng)掩碼、缺省網(wǎng)關(guān)，以及DNS服務(wù)器的地址。DHCP避免了因手工設(shè)置IP地址及子網(wǎng)掩碼所產(chǎn)生的錯(cuò)誤，也避免了把一個(gè)IP地址分配給多臺(tái)主機(jī)所造成的地址沖突。降低了IP地址治理員的設(shè)置負(fù)擔(dān)，使用DHCP服務(wù)器可以大大地縮短配置網(wǎng)絡(luò)中主機(jī)所花費(fèi)的時(shí)間。

    但是，隨著DHCP服務(wù)的廣泛應(yīng)用，也產(chǎn)生了一些問(wèn)題。首先，DHCP服務(wù)答應(yīng)在一個(gè)子網(wǎng)內(nèi)存在多臺(tái)DHCP服務(wù)器，這就意味著治理員無(wú)法保證客戶端只能從治理員所設(shè)置的DHCP服務(wù)器中獲取合法的IP地址，而不從一些用戶自建的非法DHCP服務(wù)器中取得IP地址；其次，在部署DHCP服務(wù)的子網(wǎng)中，指定了合法的IP地址、掩碼和網(wǎng)關(guān)的主機(jī)也可以正常地訪問(wèn)網(wǎng)絡(luò)，而DHCP服務(wù)器卻仍然會(huì)有可能將該地址分配給其他主機(jī)，這樣就會(huì)造成地址沖突，影響IP地址的正常分配。

    針對(duì)上述問(wèn)題，本文給出了一個(gè)解決方案，即通過(guò)使用Cisco提供的DHCP Snooping技術(shù)和Dynamic ARP Inspection技術(shù)，可以有效地防止以上問(wèn)題的發(fā)生。

    這里首先對(duì)兩種技術(shù)做一個(gè)簡(jiǎn)要的介紹，然后將給出一個(gè)應(yīng)用實(shí)例加以說(shuō)明。

    二、DHCP Snooping技術(shù)DHCP Snooping是一種通過(guò)建立DHCP Snooping Binding數(shù)據(jù)庫(kù)，過(guò)濾非信任的DHCP消息，從而保證網(wǎng)絡(luò)安全的特性。DHCP Snooping就像是非信任的主機(jī)和DHCP服務(wù)器之間的防火墻。通過(guò)DHCP Snooping來(lái)區(qū)分連接到末端客戶的非信任接口和連接到DHCP服務(wù)器或者其他交換機(jī)的受信任接口。

    DHCP Snooping Binding數(shù)據(jù)庫(kù)包括如下信息：MAC地址、IP地址、租約時(shí)間、binding類型、VLAN ID以及來(lái)自本地非信任端口的接口信息，但不包含通過(guò)受信任端口互相連接的接口信息。在啟用了DHCP Snooping的VLAN中，假如交換機(jī)收到來(lái)自非信任端口的DHCP包，交換機(jī)將對(duì)目的MAC地址和DHCP客戶端的地址進(jìn)行對(duì)比，假如符合則該包可以通過(guò)，否則將被丟棄掉。

    在下述情況中，DHCP包將同樣被丟棄：

    l 來(lái)自外網(wǎng)或者防火墻的DHCP服務(wù)器，包括DHCPOFFER、DHCPACK、DHCPNAK、DHCPLEASEQUERY.

    l 來(lái)自非信任端口，且目的MAC地址和DHCP客戶端的硬件地址不匹配。

    l 交換機(jī)收到DHCPRELEASE或者DHCPDECLINE的廣播信息，其MAC地址包含在DHCP snooping binding 數(shù)據(jù)庫(kù)中，但與數(shù)據(jù)庫(kù)中的接口信息不匹配

    l 通過(guò)DHCP中繼代理轉(zhuǎn)發(fā)的包不包括在內(nèi)

    三、Dynamic ARP Inspection技術(shù)Dynamic ARP inspection是一種驗(yàn)證網(wǎng)絡(luò)中ARP包的安全特性，可以阻止、記錄并丟棄非法IP和MAC地址綁定的ARP包。

    Dynamic ARP inspection保證只有合法的ARP請(qǐng)求和響應(yīng)可以傳播。交換機(jī)會(huì)完成如下工作，截取所有來(lái)自非信任端口ARP請(qǐng)求和響應(yīng)，在更新ARP緩存或傳播數(shù)據(jù)包之前驗(yàn)證所截取的數(shù)據(jù)包IP-MAC地址綁定是否合法，丟棄非法的ARP包。

    前面提到，DHCP Snooping會(huì)建立一個(gè)包含合法IP-MAC地址綁定信息的數(shù)據(jù)庫(kù)，Dynamic ARP inspection基于該數(shù)據(jù)庫(kù)檢驗(yàn)所截取ARP包的合法性。假如ARP包來(lái)自非信任接口，那么只有合法的可以通過(guò)。假如來(lái)自受信任端口，將可以直接通過(guò)。

四、應(yīng)用實(shí)例
我校1＃學(xué)生公寓，PC擁有數(shù)量大約1000臺(tái)。采用DHCP分配IP地址，擁有4個(gè)C類地址，實(shí)際可用地址數(shù)約1000個(gè)。由于樓內(nèi)經(jīng)常存在私開的DHCP服務(wù)器，導(dǎo)致大量主機(jī)無(wú)法分配到合法IP地址；另外，由于有相當(dāng)數(shù)量的主機(jī)指定IP地址，因此造成了與DHCP分配的IP地址沖突。以上兩方面，均造成了該公寓樓大量主機(jī)無(wú)法正常訪問(wèn)網(wǎng)絡(luò)。

經(jīng)過(guò)一段時(shí)間的分析、實(shí)驗(yàn)，我們決定對(duì)該公寓樓部署DHCP Snooping和Dynamic ARP Inspection兩項(xiàng)技術(shù)，以保證網(wǎng)絡(luò)的正常運(yùn)行。

該公寓網(wǎng)絡(luò)設(shè)備使用情況如下，接入層為××臺(tái)Cisco 2950交換機(jī)上聯(lián)至堆疊的4臺(tái)Cisco 3750，再通過(guò)光纖上聯(lián)至匯聚層的Cisco 3750交換機(jī)。同時(shí)匯聚層的Cisco 3750交換機(jī)還兼做DHCP服務(wù)器。

部署過(guò)程

首先按如下過(guò)程配置DHCP Snooping

1 configure terminal

2 ip dhcp snooping 在全局模式下啟用DHCP Snooping

3 ip dhcp snooping vlan 103 在VLAN 103中啟用DHCP Snooping

4 ip dhcp snooping information option Enable the switch to insert and remove DHCP relay information(option-82 field) in forwarded DHCP request messages to the DHCP server. The default is enabled.

5 interface GigabitEthernet1/0/28，進(jìn)入交換機(jī)的第28口

6 ip dhcp snooping trust 將第28口設(shè)置為受信任端口

7 ip dhcp snooping limit rate 500 設(shè)置每秒鐘處理DHCP數(shù)據(jù)包上限

9 end 退出

完成配置后，可用如下命令觀察DHCP Snooping運(yùn)行狀況：

show ip dhcp snooping

得到如下信息：

Switch DHCP snooping is enabled

DHCP snooping is configured on following VLANs：

103

Insertion of option 82 is enabled

Verification of hwaddr field is enabled

Interface Trusted Rate limit (pps)

------------------------ ------- ----------------

GigabitEthernet1/0/22 yes unlimited

GigabitEthernet1/0/24 yes unlimited

GigabitEthernet1/0/27 yes unlimited

GigabitEthernet1/0/28 no 500

show ip dhcp snooping binding，得到如下信息：

MacAddress IpAddress Lease(sec) Type VLAN Interface

------------------ --------------- ---------- ------------- ---- -----------------------------------------------------------

00:11:09:11:51:16 210.77.5.201 3209 dhcp-snooping 103 GigabitEth ernet1/0/28

00:50:8D:63:5A:05 210.77.6.134 2466 dhcp-snooping 103 GigabitEthernet1/0/28

00:E0:4C:A17:80 210.77.4.26 3070 dhcp-snooping 103 GigabitEthernet1/0/28

00:0F:EA:A8:BC:22 210.77.5.198 1887 dhcp-snooping 103 GigabitEthernet1/0/28

10:E0:8C:50:805 210.77.5.95 3034 dhcp-snooping 103 GigabitEthernet1/0/28

00:03:0D:0E:9A:A5 210.77.6.230 3144 dhcp-snooping 103 GigabitEthernet1/0/28

00:50:8D:6C:08:9F 210.77.4.17 3012 dhcp-snooping 103 GigabitEthernet1/0/28

00:E0:50:00:0B:54 210.77.6.18 3109 dhcp-snooping 103 GigabitEthernet1/0/28

00:0F:EA:13:40:54 210.77.7.7 2631 dhcp-snooping 103 GigabitEthernet1/0/28

00:E0:4C:45:21:E9 210.77.7.77 2687 dhcp-snooping 103 GigabitEthernet1/0/28

接下來(lái)配置Dynamic ARP Inspection

1 show cdp neighbors 檢查交換機(jī)之間的連接情況

Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge

S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone

Device ID Local Intrfce Holdtme Capability Platform Port ID

ap Gig 1/0/23 149 T AIR-AP1230Fas 0

hall-3750 Gig 1/0/27 135 S I WS-C3750-2Gig 1/0/1

1#west-3750 Gig 1/0/28 173 S I WS-C3750G-Gig 1/0/25

2 configure terminal 進(jìn)入全局配置模式

3 ip arp inspection vlan 103 在VLAN 103上啟用Dynamic ARP Inspection

4 interface GigabitEthernet1/0/28 進(jìn)入第28端口

5 ip arp inspection trust 將端口設(shè)置為受信任端口

The switch does not check ARP packets that it receives from the other switch on the trusted interface. It simply forwards the packets.

6 end

配置完成后可以用如下命令觀察Dynamic ARP Inspection的運(yùn)行情況

show arp access-list [acl-name] Displays detailed information about ARP ACLs.

show ip arp inspection interfaces [interface-id] Displays the trust state and the rate limit of ARP packets for the specified interface or all interfaces.

Interface Trust State Rate (pps) Burst Interval

--------------- ----------- ---------- --------------

Gi1/0/21 Untrusted 15 1

Gi1/0/22 Trusted None N/A

Gi1/0/23 Untrusted 15 1

Gi1/0/24 Trusted None N/A

Gi1/0/25 Untrusted 15 1

Gi1/0/26 Untrusted 15 1

Gi1/0/27 Trusted None N/A

Gi1/0/28 Untrusted None N/A

show ip arp inspection vlan vlan-range, Displays the configuration and the Operating state of dynamic ARP inspection for all VLANs configured on the switch, for a specified VLAN, or for a range of VLANs.

yql-2#-3750#sh ip arp inspection vlan 103

Source Mac Validation : Disabled

Destination Mac Validation : Disabled

IP Address Validation : Disabled

Vlan Configuration Operation ACL Match Static ACL

---- ------------- --------- --------- ----------

103 Enabled Active

Vlan ACL Logging DHCP Logging

---- ----------- ------------

103 Deny Deny

注重事項(xiàng)：

DHCP Snooping

l 在配置DHCP Snooping以前，必須確認(rèn)該設(shè)備作為DHCP服務(wù)器。

l 建議對(duì)非信任端口的上限不要超過(guò)100。對(duì)于被設(shè)置為受信任的trunk端口，需要適當(dāng)增加

Dynamic ARP Inspection

必須限制trunk端口處理ARP包的數(shù)量

五、一些問(wèn)題的討論

在實(shí)際使用過(guò)程中我們發(fā)現(xiàn)，在配置完上述命令后，Cisco 3750交換機(jī)會(huì)在運(yùn)行一段時(shí)間以后變得緩慢，CPU利用率達(dá)到100％，性能嚴(yán)重下降。經(jīng)過(guò)分析我們發(fā)現(xiàn)，在開始應(yīng)用Dynamic ARP Inspection時(shí)，交換機(jī)會(huì)記錄大量的數(shù)據(jù)包，當(dāng)端口通過(guò)的數(shù)據(jù)包過(guò)多時(shí)，交換機(jī)會(huì)認(rèn)為遭受DoS攻擊，從而將端口自動(dòng)errdisable，造成通信中斷。為了解決這個(gè)問(wèn)題，我們需要加入命令errdisable recovery cause arp-inspection。

由于Cisco 3750交換機(jī)能力有限，因此我們建議在使用Cisco 3750交換機(jī)配置上述命令時(shí)應(yīng)逐級(jí)增大port limit rate。

六、小結(jié)
DHCP服務(wù)在網(wǎng)絡(luò)中的廣泛應(yīng)用，極大地減輕了網(wǎng)絡(luò)治理員的負(fù)擔(dān)，方便了用戶使用網(wǎng)絡(luò)。但是由于有些用戶私自指定IP地址，造成了IP地址自動(dòng)分配時(shí)引起的IP地址沖突，進(jìn)而影響其他用戶的使用。我們經(jīng)過(guò)實(shí)際測(cè)試，給出了上述解決方案，本方法不僅適合于Cisco的3750交換機(jī)，也適用于Cisco的65系列交換機(jī)。

DHCP防指定IP地址的方法在我校已經(jīng)得到了成功的應(yīng)用，經(jīng)過(guò)實(shí)踐檢驗(yàn)，我們認(rèn)為這是一個(gè)非常實(shí)用的功能。在系統(tǒng)設(shè)置好以后，網(wǎng)絡(luò)中的用戶只有設(shè)置為自動(dòng)獲取IP地址才能上網(wǎng)，否則將無(wú)法上網(wǎng)。從而解決了在使用DHCP的網(wǎng)絡(luò)中，用戶私自指定IP地址而帶來(lái)的IP地址沖突問(wèn)題。

假如公司內(nèi)網(wǎng)由于用戶自行安裝了Windows Server版本的操作系統(tǒng)而小心啟用了DHCP服務(wù)，或其他因素在內(nèi)網(wǎng)中出現(xiàn)了非授權(quán)的DHCP服務(wù)器，會(huì)給網(wǎng)絡(luò)造成什么樣的影響呢？

DHCP server可以自動(dòng)為用戶設(shè)置網(wǎng)絡(luò)IP地址、掩碼、網(wǎng)關(guān)、DNS、WINS 等網(wǎng)絡(luò)參數(shù)，簡(jiǎn)化了用戶網(wǎng)絡(luò)設(shè)置，提高了治理效率。但是，此時(shí)假如服務(wù)器和客戶端沒(méi)有認(rèn)證機(jī)制，網(wǎng)絡(luò)上存在的非法的DHCP服務(wù)器將會(huì)給部分主機(jī)的地址分配、網(wǎng)關(guān)及DNS參數(shù)照成混亂，導(dǎo)致主機(jī)無(wú)法連接到外部網(wǎng)絡(luò)。出現(xiàn)這種情況，如何解決這些問(wèn)題呢？

作為客戶端計(jì)算機(jī)來(lái)說(shuō)，可以嘗試使用ipconfig /release釋放獲得的網(wǎng)絡(luò)參數(shù)后，然后用ipconfig /renew重新嘗試獲取正確的DHCP服務(wù)器配置服務(wù)，但這種方法很被動(dòng)，往往要十幾次甚至幾十次才偶然有可能成功一次，不能從根本解決問(wèn)題。

另外一個(gè)解決辦法，在windows系統(tǒng)組建的網(wǎng)絡(luò)中，假如非法DHCP服務(wù)器也是用Windows系統(tǒng)建立的話我們可以通過(guò)“域”的方式對(duì)非法DHCP服務(wù)器進(jìn)行過(guò)濾。將合法的DHCP服務(wù)器添加到活動(dòng)目錄（Active Directory）中，通過(guò)這種認(rèn)證方式就可以有效的制止非法DHCP服務(wù)器了。原理就是沒(méi)有加入域中的DHCP Server在相應(yīng)請(qǐng)求前，會(huì)向網(wǎng)絡(luò)中的其他DHCP Server發(fā)送DHCPINFORM查詢包，假如其他DHCP Server有響應(yīng)，那么這個(gè)DHCP Server就不能對(duì)客戶的要求作相應(yīng)，也就是說(shuō)網(wǎng)絡(luò)中加入域的DHCP服務(wù)器的優(yōu)先級(jí)比沒(méi)有加入域的DHCP服務(wù)器要高。這樣當(dāng)合法DHCP存在時(shí)非法的就不起任何作用了。
授權(quán)合法DHCP的過(guò)程如下：
第一步：開始->程序->治理工具->DHCP
第二步：選擇DHCP root, 用鼠標(biāo)右鍵單擊，然后瀏覽選擇需要認(rèn)證的服務(wù)器。
第三步：點(diǎn)“添加”按鈕, 輸入要認(rèn)證的DHCP服務(wù)器IP地址, 完成授權(quán)操作。
但是該方法只適用于非法DHCP服務(wù)器是windows系統(tǒng)，需要用到域和活動(dòng)目錄，配置較復(fù)雜，另外對(duì)于非Windows的操作系統(tǒng),就顯得力不從心了。

還有更好的方法，就是利用交換機(jī)的DHCP監(jiān)聽，通過(guò)建立和維護(hù)DHCP Snooping綁定表過(guò)濾不可信任的DHCP信息，也就是過(guò)濾掉非法DHCP服務(wù)器向網(wǎng)絡(luò)上發(fā)送的數(shù)據(jù)包。首先定義交換機(jī)上的信任端口和不信任端口，將DHCP服務(wù)器所連接的端口定義為信任端口，其它連接到普通客戶端的端口全部定義為不信任端口，對(duì)于不信任端口的DHCP報(bào)文進(jìn)行截獲和嗅探，drop掉來(lái)自這些端口的非正常 DHCP 報(bào)文，從而達(dá)到過(guò)濾非法DHCP服務(wù)器的目的。
基本配置示例：
switch(config)#ip dhcp snooping vlan 100,200
/* 定義哪些 VLAN 啟用 DHCP 嗅探
switch(config)#ip dhcp snooping
switch(config)#int fa4/10 /* dhcp服務(wù)器所在端口
switch(config-if)#ip dhcp snooping trust
switch(config)#int range fa3/1 - 48 /* 其它端口
switch(config-if)#no ip dhcp snooping trust (Default)
switch(config-if)#ip dhcp snooping limit rate 10 (pps)
/* 一定程度上防止 DHCP 拒絕服 /* 務(wù)攻擊