DHCP信任的各种情况

晴川

配置DHCP Snooping
DHCP Snooping是DHCP（Dynamic Host Configuration Protocol）的一种安全特性，用于保证DHCP客户端从合法的DHCP服务器获取IP地址，并记录DHCP客户端IP地址与MAC地址等参数的对应关系，防止网络上针对DHCP攻击，如DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等

配置DHCP Snooping
①使能DHCP Snooping功能
dhcp enable                                                                使能DHCP功能
dhcp snooping enable                                        使能DHCP Snooping功能
dhcp snooping enable vlan 10                        全局视图使能vlan10的DHCP Snooping功能，加入vlan10的接口都可以使能，方法一

vlan 10
dhcp snooping enable                                        vlan下使能DHCP Snooping功能，加入该vlan的接口都可以使能，方法二

interface GigabitEthernet 0/0/0
dhcp snooping enable                                        接口视图下使能DHCP Snooping功能，方法三
以上配置都在接入交换机上配置，使能的接口连接到终端

②配置信任接口
interface GigabitEthernet 0/0/24
dhcp snooping trusted                                在接口视图下配置该接口为信任端口，此接口连接到上行网络设备或DHCP服务器，方法一

vlan 10
dhcp snooping trusted interface GigabitEthernet 0/0/24                        在vlan视图下配置该接口为信任端口，此接口连接到上行网络设备或DHCP服务器，方法二

配置安全特性
arp dhcp-snooping-detect enable                                全局使能ARP与DHCP Snooping联动检测功能，防止中间人攻击
dhcp snooping check dhcp-giaddr enable                使能DHCP Request报文中GIADDR字段检测，中继场景推荐配置

1、使能DHCP Server 探测
dhcp server detect                                全局使能DHCP Server探测功能，定位DHCP Server仿冒者的位置，判定网络中是否存在伪DHCP Server

2、配置防止DHCP泛洪攻击（系统视图、VLAN视图、接口视图）
dhcp snooping check dhcp-rate enable 100                                使能DHCP报文上送DHCP报文处理单元的检测功能，且速率为100pps，默认为100pps，防止报文泛洪攻击
dhcp snooping alarm dhcp-rate enable threshold 500        使能当丢弃的DHCP报文数达到告警阈值500时的告警功能

3、配置防止仿冒DHCP攻击
dhcp snooping check dhcp-request enable                开启对DHCP报文进行绑定表匹配检查的功能
dhcp snooping check dhcp-chaddr enable                开启检测DHCP Request报文帧头源MAC地址与CHADDR字段是否相同的功能
interface GigabitEthernet 0/0/0
dhcp snooping alarm dhcp-request enable threshold 100                        开启DHCP Snooping告警功能，并配置DHCP Snooping丢弃报文数量的告警阈值为100，可以针对dhcp-request，dhcp-chaddr，dhcp-reply分别配置

4、配置防止DHCP Server拒绝服务攻击（系统视图、VLAN视图、接口视图）
dhcp snooping max-user-number 30                        配置允许接入的最大用户数，在vlan视图中配置时，表示该vlan能接入的最大用户数；在接口视图下配置时，表示该接口能接入的最大用户数
dhcp snooping check dhcp-chaddr enable threshold 100                        开启检测DHCP Request报文帧头源MAC地址与CHADDR字段是否相同的功能，开启DHCP Snooping告警功能，并配置DHCP Snooping丢弃报文数量的告警阈值为100，防止饿死攻击

display dhcp snooping                                                查看DHCP Snooping的运行信息
display dhcp snooping configuration                查看DHCP Snooping的配置信息
display dhcp snooping user-bind all                查看所有的DHCP Snooping绑定表信息
display dhcp snooping statistics                        查看设备接收的各类DHCP报文统计信息


实战：落地交换机配25号口为信任的DHCP接口
全局命令：
dhcp enable
dhcp snooping enable

25号端口下命令：
interface GigabitEthernet0/0/25
dhcp snooping enable
dhcp snooping trusted