基于DHCP Snooping技術的校園網非法DHCP服務器的接入

湯小康

（廣東財經大學信息化建設與管理辦公室 廣東 510320）

0 引言

校園網中，DHCP（Dynamic Host Configuration Protoco1，動態主機配置協議）服務是一種非常常見的服務，該服務主要是自動為網絡中的終端設備提供必要的網絡參數如IP地址、子網掩碼、網關、DNS等信息，簡化了計算機等終端的地址配置工作。然而，由于DHCP報文在客戶端和服務器的交互過程沒有認證機制，如果網絡中存在多臺DHCP服務器，校園網中的用戶有可能從非法DHCP服務器獲得地址信息，從而導致網絡中地址混亂，影響校園網正常運行。

利用交換機的DHCP監聽特性，合理配置交換機相應端口參數，可以防止校園網中非法DHCP服務器為客戶端分配錯誤的IP地址信息，僅允許合法的DHCP服務器為客戶端提供服務。

1 DHCP Snooping

DHCP Snooping，意為DHCP 窺探，在一次客戶端動態獲取IP地址的過程中，通過對客戶端和服務器之間的DHCP交互報文進行窺探，實現對用戶的監控，同時DHCP Snooping起到一個DHCP 報文過濾的功能，通過合理的配置實現對非法服務器的過濾，防止用戶端獲取到非法DHCP服務器提供的地址而無法上網。

由于DHCP獲取IP的交互報文是使用廣播的形式，從而存在著非法的DHCP服務影響用戶正常IP的獲取，更有甚者通過非法的DHCP服務欺騙竊取用戶信息的現象，為了防止非法的DHCP服務的問題，DHCP Snooping把端口分為兩種類型，TRUST口和UNTRUST口，設備只轉發TRUST口收到的DHCP應答報文，而丟棄所有來自UNTRUST口的DHCP應答報文，這樣我們把合法的DHCP Server連接的端口設置為TRUST口，則其他口為UNTRUST口，就可以實現對非法DHCP Server的屏蔽。

當網絡中存在DHCP服務器欺騙的時候就可以考慮采用這個功能，比如網絡中有個別終端用的是window 2003或者2008系統默認開啟了DHCP服務，或者是一些接入層的端口連接有TPLINK、DLINK這樣的無線路由器，并開啟了DHCP服務。推薦在用戶接入層交換機上面部署該功能，越靠近PC端口控制的越準確，而每個交換機的端口推薦只連接一臺PC，否則如果交換機某端口下串接一個HUB，在HUB上連接了若干PC的話，那么如果湊巧該HUB下發生DHCP欺騙，由于欺騙報文都在HUB端口間直接轉發了，沒有受到接入層交換機的DHCP Snooping功能的控制，這樣的欺騙就無法防止了。

圖1 網絡拓撲圖

2 DHCP Snooping配置

2.1 組網拓撲

網絡拓撲如圖1所示，核心交換機連接DHCP Server，接入交換機的G0/49端口上聯至核心，下聯計算機PC使用DHCP服務獲取IP地址。核心交換機為銳捷S6810，接入交換機為銳捷S2352。

2.2 網絡環境及故障描述

由于我校的無線網絡尚在建設階段，而隨著手機、IPAD等移動智能終端的發展，用戶對于無線網絡的需求日趨明顯，因此很多用戶會在一些免認證的區域自己搭建一個熱點，直接在校園網端口上連接一個類似于TP-LINK這樣的無線路由器，而大部分用戶又缺乏專業的網絡知識，連接的無線路由器通常都使用了默認的配置，而路由器默認的配置通常都會開啟DHCP服務為通過它連接校園網的終端分配IP地址，而這樣的配置往往是導致發生DHCP欺騙的根源。

在圖1中，如果用戶沒有連接TP-LINK路由器，PC1和PC2都會由DHCP Server來提供IP地址等網絡參數，而當網絡接入了TP-LINK無線路由器并開啟DHCP服務，這時PC1和PC2都會接收由TP-LINK分配的IP地址等網絡參數，PC2通過TP-LINK可以正常上網，而PC1是直接連接校園網但是卻得到了錯誤的IP地址及網絡參數導致無法連接校園網，這時候就發生了DHCP欺騙。

2.3 解決方法

利用DHCP Snooping可以防止上述DHCP欺騙的發生，只需在接入交換機全局開啟DHCP Snooping功能并設置G0/49為TRUST口，由于F0/2為UNTRUST口，由TP-LINK所發出的DHCP應答報文將無法通過，從而實現對非法DHCP Server的屏蔽。

2.4 配置步驟

（1）在接入交換機上開啟dhcp snooping功能

Switch>enab1e

Switch#configure termina1

Switch（config）#ip dhcp snooping

（2）連接DHCP服務器的接口配置為TRUST口

Switch（config）#interface gigabitEthernet 0/49

Switch（config-GigabitEthernet 0/49）#ip dhcp snooping trust

（3）保存配置

Switch（config-GigabitEthernet 0/49）#end

Switch#write

3 總結

使用DHCP Snooping技術可以有效地防范校園網中非法DHCP服務器的接入，但是前提是網絡中使用的交換機必須支持DHCP Snooping功能及信任端口配置，如果交換機不支持DHCP Snooping功能，就只能通過其他的方法如端口隔離、接入層ACL、接入認證來進行防范。

[1]孫中廷.趙玉艷.非法DHCP帶來的災害及防范措施[J].辦公自動化.2009.

[2]孫中全，陳開兵..基于交換機阻止非法DHCP服務器攻擊的實現[J].滁州職業技術學院學報.2014.

[3]曹忠華.使用DHCP Snooping技術屏蔽校園網中非法DHCP服務器[J].中國教育信息化.2011.

[4]王景明.校園局域網非法 DHCP接入問題的研究與解決辦法[J].電腦知識與技術.2014.

[5]馬素芬，顧婷婷.校園網中非法 DHCP服務器的防范措施研究[J].信息通信.2014.