解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法

IP与MAC绑定
　　思科的Catalyst 3560交换机支持DHCP Snooping功能，交换机会监听DHCP的过程，交换机会生成一个IP和MAC地址对应表。思科的交换机更进一步的支持IP source guard和Dynamic ARP Inspection功能，这两个功能任启一个都可以自动的根据DHCP Snooping监听获得的IP和MAC地址对应表，进行绑定，防止私自更改地址。
　　Dynamic ARP Inspection功能还有一个好处是可以防范在2层网络的中间人攻击。
　　思科在DHCP Snooping上还做了一些非常有益的扩展功能，比如Catalyst 3560交换机可以限制端口通过的DHCP数据包的速率，粒度是pps，这样可以防止对DHCP服务器的进行地址请求的DoS攻击。另外Catalyst 3560交换机还支持DHCP Tracker，在DHCP请求中插入交换机端口的ID，从而限制每个端口申请的IP地址数目，防止黑客程序对DHCP服务器进行目的为耗尽IP地址池的攻击。

　　随着DHCP服务的广泛应用，也产生了一些问题。首先，DHCP服务允许在一个子网内存在多台DHCP服务器，这就意味着管理员无法保证客户端只能从管理员所设置的DHCP服务器中获取合法的IP地址，而不从一些用户自建的非法DHCP服务器中取得IP地址；其次，在部署DHCP服务的子网中，指定了合法的IP地址、掩码和网关的主机也可以正常地访问网络，而DHCP服务器却仍然会有可能将该地址分配给其他主机，这样就会造成地址冲突，影响IP地址的正常分配。
　　针对上述问题，本文给出了一个解决方案，即通过使用Cisco提供的DHCP Snooping技术和Dynamic ARP Inspection技术，可以有效地防止以上问题的发生。这里首先对两种技术做一个简要的介绍，然后将给出一个应用实例加以说明。

应用实例
　　我校1＃学生公寓，PC拥有数量大约1000台。采用DHCP分配IP地址，拥有4个C类地址，实际可用地址数约1000个。由于楼内经常存在私开的DHCP服务器，导致大量主机无法分配到合法IP地址；另外，由于有相当数量的主机指定IP地址，因此造成了与DHCP分配的IP地址冲突。以上两方面，均造成了该公寓楼大量主机无法正常访问网络。
　　经过一段时间的分析、实验，我们决定对该公寓楼部署DHCP Snooping和Dynamic ARP Inspection两项技术，以保证网络的正常运行。
　　该公寓网络设备使用情况如下，接入层为××台Cisco 2950交换机上联至堆叠的4台Cisco 3750，再通过光纤上联至汇聚层的Cisco 3750交换机。同时汇聚层的Cisco 3750交换机还兼做DHCP服务器。
　　部署过程
　　首先按如下过程配置DHCP Snooping
1 configure terminal
2 ip dhcp snooping     ！---在全局模式下启用DHCP Snooping
3 ip dhcp snooping vlan 103  ！---在VLAN 103中启用DHCP Snooping
4 ip dhcp snooping information option   ！---Enable the switch to insert and remove DHCP relay information(option-82 field) in forwarded DHCP request messages to the DHCP server. The default is enabled.  
启用DHCP Option 82数据插入。默认为启用。
5 interface GigabitEthernet1/0/28  ！---进入交换机的第28口，dhcp服务器所在端口
6 ip dhcp snooping trust   ！---将第28口设置为受信任端口
7 ip dhcp snooping limit rate 500  ！---设置每秒钟处理DHCP数据包上限
9 end 退出
　　完成配置后，可用如下命令观察DHCP Snooping运行状况：
show ip dhcp snooping  得到如下信息：
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs：103
Insertion of option 82 is enabled
Verification of hwaddr field is enabled
Interface                Trusted    Rate limit (pps)
------------------------ -------   ----------------
GigabitEthernet1/0/22      yes                 unlimited
GigabitEthernet1/0/24      yes                  unlimited
GigabitEthernet1/0/27             yes                   unlimited
GigabitEthernet1/0/28             no                     500

show ip dhcp snooping binding，得到如下信息：
MacAddress              IpAddress       Lease(sec)        Type VLAN          Interface
------------------   ---------------   ----------       -------------           ----
00:11:09:11:51:16     210.77.5.201        3209        dhcp-snooping 103 GigabitEthernet1/0/28
00:50:8D:63:5A:05     210.77.6.134        2466        dhcp-snooping 103 GigabitEthernet1/0/28
00:E0:4C:A17:80       210.77.4.26         3070        dhcp-snooping 103 GigabitEthernet1/0/28
00:0F:EA:A8:BC:22     210.77.5.198        1887        dhcp-snooping 103 GigabitEthernet1/0/28
10:E0:8C:50:805       210.77.5.95         3034        dhcp-snooping 103 GigabitEthernet1/0/28
00:03:0D:0E:9A:A5     210.77.6.230        3144        dhcp-snooping 103 GigabitEthernet1/0/28
00:50:8D:6C:08:9F     210.77.4.17         3012        dhcp-snooping 103 GigabitEthernet1/0/28
00:E0:50:00:0B:54     210.77.6.18         3109        dhcp-snooping 103 GigabitEthernet1/0/28
00:0F:EA:13:40:54     210.77.7.7          2631        dhcp-snooping 103 GigabitEthernet1/0/28
00:E0:4C:45:21:E9     210.77.7.77         2687        dhcp-snooping 103 GigabitEthernet1/0/28

　　接下来配置Dynamic ARP Inspection
1 show cdp neighbors   ！---检查交换机之间的连接情况
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge  S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone

Device ID     Local Intrfce     Holdtme     Capability      Platform            Port ID
ap           Gig 1/0/23           149            T          AIR-AP1230Fas           0
hall-3750    Gig 1/0/27           135 S          I          WS-C3750-2            Gig 1/0/1
1#west-3750  Gig 1/0/28           173 S          I          WS-C3750G             Gig 1/0/25
2 configure terminal   ！---进入全局配置模式
3 ip arp inspection vlan 103   ！---在VLAN 103上启用Dynamic ARP Inspection
4 interface GigabitEthernet1/0/28   ！---进入第28端口
5 ip arp inspection trust   ！---将端口设置为受信任端口
The switch does not check ARP packets that it receives from the other switch on the trusted interface. It simply forwards the packets.
6 end
　　配置完成后可以用如下命令观察Dynamic ARP Inspection的运行情况
show arp access-list [acl-name]   ！---Displays detailed information about ARP ACLs.
show ip arp inspection interfaces [interface-id]   ！---Displays the trust state and the rate limit of ARP packets for the specified interface or all interfaces.
show ip arp inspection vlan vlan-range   ！---Displays the configuration and the operating state of dynamic ARP inspection for all VLANs configured on the switch, for a specified VLAN, or for a range of VLANs.

yql-2#-3750#sh ip arp inspection vlan 103
Source Mac Validation : Disabled
Destination Mac Validation : Disabled
IP Address Validation : Disabled
Vlan Configuration Operation ACL Match Static ACL
---- ------------- --------- --------- ----------
103 Enabled Active
Vlan ACL Logging DHCP Logging
---- ----------- ------------
103     Deny         Deny
注意事项：
DHCP Snooping
l 在配置DHCP Snooping以前，必须确认该设备作为DHCP服务器。
l 建议对非信任端口的上限不要超过100。对于被设置为受信任的trunk端口，需要适当增加Dynamic ARP Inspection必须限制trunk端口处理ARP包的数量

一些问题的讨论
　　在实际使用过程中我们发现，在配置完上述命令后，Cisco 3750交换机会在运行一段时间以后变得缓慢，CPU利用率达到100％，性能严重下降。经过分析我们发现，在开始应用Dynamic ARP Inspection时，交换机会记录大量的数据包，当端口通过的数据包过多时，交换机会认为遭受DoS攻击，从而将端口自动errdisable，造成通信中断。为了解决这个问题，我们需要加入命令errdisable recovery cause arp-inspection。
　　由于Cisco 3750交换机能力有限，因此我们建议在使用Cisco 3750交换机配置上述命令时应逐级增大port limit rate。
小结
　　DHCP服务在网络中的广泛应用，极大地减轻了网络管理员的负担，方便了用户使用网络。但是由于有些用户私自指定IP地址，造成了IP地址自动分配时引起的IP地址冲突，进而影响其他用户的使用。我们经过实际测试，给出了上述解决方案，本方法不仅适合于Cisco的3750交换机，也适用于Cisco的65系列交换机。
DHCP防指定IP地址的方法在我校已经得到了成功的应用，经过实践检验，我们认为这是一个非常实用的功能。在系统设置好以后，网络中的用户只有设置为自动获取IP地址才能上网，否则将无法上网。从而解决了在使用DHCP的网络中，用户私自指定IP地址而带来的IP地址冲突问题。

文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags:
相关日志: