巧用DHCP Snooping命令保安全

引言： 在企業(yè)的日常網(wǎng)絡(luò)管理中，網(wǎng)絡(luò)運維存在的一個問題主要集中在如何管理好用戶PC終端接入的IP地址和MAC地址，同時對端口進行實時數(shù)據(jù)流量的監(jiān)測，以防止內(nèi)部網(wǎng)絡(luò)出現(xiàn)DHCP攻擊或ARP（Address Resolution Protocol，地址解析協(xié)議）攻擊。若企業(yè)的網(wǎng)絡(luò)管理者能夠清晰地了解這些網(wǎng)絡(luò)接入設(shè)備的信息，對于內(nèi)部電腦“誤開啟”DHCP Server服務(wù)或者內(nèi)部PC中了病毒造成的ARP攻擊造成了網(wǎng)絡(luò)癱瘓時，網(wǎng)管員就可以更輕松地去處理解決。

如今，很多企業(yè)的網(wǎng)絡(luò)交換設(shè)備都開啟了DHCP功能，當PC終端通過RJ45接口接入網(wǎng)絡(luò)設(shè)備后，可以自動從DHCP Server獲取一個IP地址用于連接到內(nèi)部局域網(wǎng)或通過路由器接入Internet，此時的接入設(shè)備的接口便自動識別并綁定了當前接入終端的MAC地址，但由于處于接入端的設(shè)備運行在數(shù)據(jù)鏈路層中，在其轉(zhuǎn)發(fā)的數(shù)據(jù)報里并不能封裝當前分配的IP地址，因此往往在調(diào)查其IP地址時還需要從三層交換設(shè)備中的ARP表中查詢，一旦遭受ARP攻擊，可能所有的接入設(shè)備會出現(xiàn)不能動態(tài)獲取到IP地址的情況，設(shè)備中的ARP表也會出現(xiàn)錯亂，造成企業(yè)的業(yè)務(wù)癱瘓甚至造成數(shù)據(jù)泄露。因此為了降低出現(xiàn)這種情況的概率，可以使用華為交換設(shè)備的DHCP snooping相關(guān)命令來控制每一個接入設(shè)備的接入權(quán)限，防止惡意的數(shù)據(jù)包干擾網(wǎng)絡(luò)網(wǎng)絡(luò)設(shè)備。（注：在本文的華為交換機案例中，DHCP Server為三層核心交換機）

當然現(xiàn)階段也有非常多分配靜態(tài)IP來上網(wǎng)的企業(yè)，一般情況下都會使用MAC+IP或MAC+IP+端口綁定來統(tǒng)一管理，靜態(tài)分配的IP地址在網(wǎng)絡(luò)設(shè)備中不會觸發(fā)DHCP snooping用戶綁定表的更新，只會在三層交換機中的arp表項中更新。……