返回
DHCP_SNOOPING专题

DHCP_SNOOPING专题

ID:47860595

大小:423.00 KB

页数:11页

时间:2019-12-03

DHCP_SNOOPING专题_第1页
DHCP_SNOOPING专题_第2页
DHCP_SNOOPING专题_第3页
DHCP_SNOOPING专题_第4页
DHCP_SNOOPING专题_第5页
资源描述:

《DHCP_SNOOPING专题》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、.    DHCPSNOOPING专题1DHCP/DHCPSNOOPING概述1.1DHCPDHCP(动态主机配置协议)能够让网络上的主机从一个DHCP服务器上获得一个可以让其正常通信的IP地址以及相关的配置信息。RFC2131详细的描述了DHCP。DHCP采用UDP作为传输协议,主机发送消息到DHCP服务器的67号端口,服务器回消息给主机的68号端口。DHCP的工作主要分为以下几步:1.主机发送一个请求IP地址和其他配置参数的广播报文DHCPDiscover;2.DHCP服务器回送一个包含有效IP地址及配置的单播报文DHCPOffer;3.主机选择最先到达的DHCPOffer的那

2、个服务器,并向它发送一个单播报文DHCPRequest,表示接受相关配置;4.选中的DHCP服务器回送一个确认的单播报文DHCPAck。至此,主机就可以利用从DHCP服务器获得的IP地址和相关配置进行通信。DHCP服务器为主机分配的IP地址有三种形式:1.管理员将一个IP地址分配给一个确定的主机;2.随机的将地址永久性分配给主机;3.随机将地址分配给主机使用一段时间。我们常用的是第3种形式。地址的有效使用时间段称为租用期。租用期满之前,主机必须向服务器请求继续租用,服务器接受请求才能继续使用,否则无条件放弃。由于默认情况下,路由器不会将收到的广播包从一个子网发送到另一个子网。而当D

3、HCP服务器和客户主机不在同一个子网时,充当客户主机默认网关的路由器必须将广播包发送到DHCP服务器所在的子网,这一功能就称为DHCP中继。1.2DHCPSNOOPINGDHCPSnooping是一种通过建立和维护DHCPSnooping绑定表,过滤不可信任的DHCP信息,从而保证网络安全特性的技术。DHCPSnooping就像是非信任的主机和DHCP服务器之间的防火墙。通过DHCPSnooping来区分连接到末端客户或防火墙的非信任接口和连接到DHCP服务器或者其他交换机的受信任接口。DHCPSnoopingBinding数据库包括如下信息:MAC地址、IP地址、租约时间、bin

4、ding类型、VLANID以及来自本地非信任端口的接口信息,但不包含通过受信任端口互相连接的接口信息。DHCPSnooping的包过滤:-..(1)当交换机收到来自非信任端口的DHCP包,而此接口属于某个启用了DHCPSnooping的VLAN,则交换机将比较此DHCP包的源MAC地址和其DHCP客户硬件地址,如果匹配则转发该包,否则将被丢弃掉。(2)当交换机收到来自外网或者防火墙的DHCP服务器的DHCP响应包将被丢弃掉。这些DHCP响应数据包包括DHCPOFFER、DHCPACK、DHCPNAK、DHCPLEASEQUERY。(3)当交换机收到DHCPRELEASE或者DHCP

5、DECLINE信息,其MAC地址包含在DHCPsnoopingbinding数据库中,但数据库中的接口信息与收包接口不匹配时,将被丢弃掉。1.1DynamicARPInspection技术DynamicARPinspection是一种验证网络中ARP包的安全特性,可以阻止、记录并丢弃非法IP和MAC地址绑定的ARP包。DynamicARPinspection保证只有合法的ARP请求和响应可以传播。交换机会完成如下工作,截取所有来自非信任端口ARP请求和响应,在更新ARP缓存或传播数据包之前验证所截取的数据包IP-MAC地址绑定是否合法,丢弃非法的ARP包。DynamicARPins

6、pection基于DHCPSnooping建立的包含合法IP-MAC地址绑定信息的数据库检验所截取ARP包的合法性。如果ARP包来自非信任接口,那么只有合法的可以通过。如果来自受信任端口,将可以直接通过。ZXR10T160G/T64G/T40G采用DHCPsnooping功能防止在网络中设置虚假的DHCP服务器,这时候连接DHCP服务器的端口必须设置为信任端口。另外,结合动态ARP检测技术可以防止非法的IP和MAC地址绑定,保证了DHCP服务器能够正常分配IP地址。39系列D版本也支持DHCPSNOOPING功能。2DHCP Snooping组网应用及配置2.1DHCPSnoopi

7、ng业务中需求目前启用DHCPSnooping的业务一般有以下几种需求:1、防私设DHCPServer在2层网络中,通过DHCPSnooping的trust口功能,过滤来自非trust口的DHCPServer的DHCP应答报文,起到防止私设的DHCP服务器作用。2、防用户私设IP地址防用户私设IP地址功能分别可以在2层和3层上实现:2层实现即在2层环境中,通过DHCPSnooping功能建立DHCPSnooping数据库,对静态指定IP用户的MAC置丢弃位使其不能上网

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。