🛡️ 什么是 DHCP Snooping?
DHCP Snooping 是一种网络安全技术,用于防止未经授权的 DHCP 服务器在局域网中分发错误的 IP 地址和网络参数。它通过在交换机上监控 DHCP 报文,确保客户端只能从合法的 DHCP 服务器获取配置。
⚙️ 工作原理
DHCP Snooping 的核心机制包括以下几个方面:
信任端口与非信任端口
- 信任端口:连接合法 DHCP 服务器的端口,允许 DHCP 响应报文通过。
- 非信任端口:连接客户端的端口,禁止 DHCP 响应报文通过,防止伪造服务器的攻击。
DHCP Snooping 绑定表
- 记录客户端的 MAC 地址、IP 地址、VLAN、接口等信息。
- 用于验证 DHCP 报文是否合法,防止伪造 DHCP Request 或 Release 报文。
Option 82 支持
- 添加客户端的物理位置信息到 DHCP 报文中,便于服务器进行策略控制和地址分配。
🔐 安全功能与防护机制
DHCP Snooping 能有效防止以下几类攻击:
攻击类型 | 描述 | 防护方式 |
---|---|---|
DHCP 服务器仿冒 | 非法 DHCP 服务器分配错误配置 | 设置信任端口,丢弃非信任端口的响应报文 |
DHCP 报文泛洪 | 大量 DHCP 报文导致设备性能下降 | 限制 DHCP 报文速率 |
DHCP 服务器耗竭 | 恶意申请 IP 地址耗尽地址池 | 限制每接口最大 DHCP 用户数 |
DHCP Request/Release 伪造 | 伪造续租或释放报文干扰正常用户 | 报文与绑定表匹配验证 |
非 DHCP 用户攻击 | 静态 IP 用户伪造 DHCP 报文 | 生成静态 MAC 表项,关闭动态学习 |
🧠 应用场景
DHCP Snooping 广泛应用于企业、校园、酒店等局域网环境中,尤其适用于以下场景:
- 防止员工私设 DHCP 服务器
- 保障无线接入安全
- 配合 ARP 检测(如 DAI)防止中间人攻击
- 支持 NAC(网络准入控制)策略部署
以下是 Cisco、华为和 H3C 三大厂商的 DHCP Snooping 配置方法
🧰 Cisco DHCP Snooping 配置方法
基本配置步骤:
Switch(config)# ip dhcp snooping # 启用 DHCP Snooping
Switch(config)# ip dhcp snooping vlan 1 # 指定 VLAN
Switch(config)# ip dhcp snooping information option # 启用 Option 82(默认开启)
# 配置信任端口(连接合法 DHCP 服务器)
Switch(config)# interface FastEthernet0/2
Switch(config-if)# ip dhcp snooping trust
# 配置非信任端口(连接客户端)
Switch(config)# interface FastEthernet0/1
Switch(config-if)# ip dhcp snooping limit rate 10 # 限速防攻击
# 可选:保存绑定表到 Flash
Switch(config)# ip dhcp snooping database flash:dhcp_snoop.db
🧰 华为 DHCP Snooping 配置方法
基本配置步骤:
<HUAWEI> system-view
[HUAWEI] dhcp enable # 启用 DHCP 服务
[HUAWEI] dhcp snooping enable ipv4 # 启用 DHCP Snooping(IPv4)
# 配置用户侧接口为非信任端口
[HUAWEI] interface GigabitEthernet 0/0/2
[HUAWEI-GigabitEthernet0/0/2] dhcp snooping enable
# 配置上联接口为信任端口
[HUAWEI] interface GigabitEthernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] dhcp snooping trusted
📘 官方配置案例详见 华为支持文档(https://support.huawei.com/enterprise/zh/doc/EDOC1000069491/bc91b28e)
🧰 H3C DHCP Snooping 配置方法
基本配置步骤:
[H3C] dhcp enable # 启用 DHCP 服务
[H3C] dhcp snooping # 启用 DHCP Snooping
# 配置非信任端口(客户端)
[H3C] interface Ethernet1/0/8
[H3C-Ethernet1/0/8] dhcp snooping enable
# 配置信任端口(连接 DHCP 服务器)
[H3C] interface GigabitEthernet1/0/1
[H3C-GigabitEthernet1/0/1] dhcp snooping trust
📘 更多配置细节可参考 H3C 官方文档(https://www.h3c.com/cn/d_202507/2609370_30005_0.htm)