巧用DHCP Snooping命令保安全

引言： 在企業的日常網絡管理中，網絡運維存在的一個問題主要集中在如何管理好用戶PC終端接入的IP地址和MAC地址，同時對端口進行實時數據流量的監測，以防止內部網絡出現DHCP攻擊或ARP（Address Resolution Protocol，地址解析協議）攻擊。若企業的網絡管理者能夠清晰地了解這些網絡接入設備的信息，對于內部電腦“誤開啟”DHCP Server服務或者內部PC中了病毒造成的ARP攻擊造成了網絡癱瘓時，網管員就可以更輕松地去處理解決。

如今，很多企業的網絡交換設備都開啟了DHCP功能，當PC終端通過RJ45接口接入網絡設備后，可以自動從DHCP Server獲取一個IP地址用于連接到內部局域網或通過路由器接入Internet，此時的接入設備的接口便自動識別并綁定了當前接入終端的MAC地址，但由于處于接入端的設備運行在數據鏈路層中，在其轉發的數據報里并不能封裝當前分配的IP地址，因此往往在調查其IP地址時還需要從三層交換設備中的ARP表中查詢，一旦遭受ARP攻擊，可能所有的接入設備會出現不能動態獲取到IP地址的情況，設備中的ARP表也會出現錯亂，造成企業的業務癱瘓甚至造成數據泄露。因此為了降低出現這種情況的概率，可以使用華為交換設備的DHCP snooping相關命令來控制每一個接入設備的接入權限，防止惡意的數據包干擾網絡網絡設備。（注：在本文的華為交換機案例中，DHCP Server為三層核心交換機）

當然現階段也有非常多分配靜態IP來上網的企業，一般情況下都會使用MAC+IP或MAC+IP+端口綁定來統一管理，靜態分配的IP地址在網絡設備中不會觸發DHCP snooping用戶綁定表的更新，只會在三層交換機中的arp表項中更新。……