巧用DHCP Snooping命令保安全

引言： 在企業(yè)的日常網(wǎng)絡(luò)管理中，網(wǎng)絡(luò)運(yùn)維存在的一個(gè)問(wèn)題主要集中在如何管理好用戶PC終端接入的IP地址和MAC地址，同時(shí)對(duì)端口進(jìn)行實(shí)時(shí)數(shù)據(jù)流量的監(jiān)測(cè)，以防止內(nèi)部網(wǎng)絡(luò)出現(xiàn)DHCP攻擊或ARP（Address Resolution Protocol，地址解析協(xié)議）攻擊。若企業(yè)的網(wǎng)絡(luò)管理者能夠清晰地了解這些網(wǎng)絡(luò)接入設(shè)備的信息，對(duì)于內(nèi)部電腦“誤開啟”DHCP Server服務(wù)或者內(nèi)部PC中了病毒造成的ARP攻擊造成了網(wǎng)絡(luò)癱瘓時(shí)，網(wǎng)管員就可以更輕松地去處理解決。

如今，很多企業(yè)的網(wǎng)絡(luò)交換設(shè)備都開啟了DHCP功能，當(dāng)PC終端通過(guò)RJ45接口接入網(wǎng)絡(luò)設(shè)備后，可以自動(dòng)從DHCP Server獲取一個(gè)IP地址用于連接到內(nèi)部局域網(wǎng)或通過(guò)路由器接入Internet，此時(shí)的接入設(shè)備的接口便自動(dòng)識(shí)別并綁定了當(dāng)前接入終端的MAC地址，但由于處于接入端的設(shè)備運(yùn)行在數(shù)據(jù)鏈路層中，在其轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)里并不能封裝當(dāng)前分配的IP地址，因此往往在調(diào)查其IP地址時(shí)還需要從三層交換設(shè)備中的ARP表中查詢，一旦遭受ARP攻擊，可能所有的接入設(shè)備會(huì)出現(xiàn)不能動(dòng)態(tài)獲取到IP地址的情況，設(shè)備中的ARP表也會(huì)出現(xiàn)錯(cuò)亂，造成企業(yè)的業(yè)務(wù)癱瘓甚至造成數(shù)據(jù)泄露。因此為了降低出現(xiàn)這種情況的概率，可以使用華為交換設(shè)備的DHCP snooping相關(guān)命令來(lái)控制每一個(gè)接入設(shè)備的接入權(quán)限，防止惡意的數(shù)據(jù)包干擾網(wǎng)絡(luò)網(wǎng)絡(luò)設(shè)備。（注：在本文的華為交換機(jī)案例中，DHCP Server為三層核心交換機(jī)）

當(dāng)然現(xiàn)階段也有非常多分配靜態(tài)IP來(lái)上網(wǎng)的企業(yè)，一般情況下都會(huì)使用MAC+IP或MAC+IP+端口綁定來(lái)統(tǒng)一管理，靜態(tài)分配的IP地址在網(wǎng)絡(luò)設(shè)備中不會(huì)觸發(fā)DHCP snooping用戶綁定表的更新，只會(huì)在三層交換機(jī)中的arp表項(xiàng)中更新。……