所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置DHCP Snooping的攻击防范功能示例

配置DHCP Snooping的攻击防范功能示例

组网需求

图8-13所示,SwitchA与SwitchB是二层交换机,SwitchC是用户网关,作为DHCP Relay向DHCP服务器转发DHCP报文,使得DHCP客户端可以从DHCP服务器上申请到IP地址等相关配置信息。

然而网络中可能会存在针对DHCP的攻击,例如:

  • DHCP Server仿冒者攻击:在网络上随意添加一台DHCP服务器,它可以为客户端分配IP地址以及其他网络参数。如果该DHCP服务器为用户分配错误的IP地址和其他网络参数,将会对网络造成非常大的危害。
  • DHCP报文泛洪攻击:若攻击者短时间内向设备发送大量的DHCP报文,将会对设备的性能造成巨大的冲击以致可能会导致设备无法正常工作。
  • 仿冒DHCP报文攻击:如果攻击者冒充合法用户不断向DHCP Server发送DHCP Request报文来续租IP地址,会导致这些到期的IP地址无法正常回收,以致一些合法用户不能获得IP地址;而若攻击者仿冒合法用户的DHCP Release报文发往DHCP Server,将会导致用户异常下线。
  • DHCP Server服务拒绝攻击:当存在大量攻击者恶意申请IP地址或者某一攻击者通过不断改变CHADDR字段向DHCP Server申请IP地址,会导致DHCP Server中IP地址快速耗尽而不能为其他合法用户提供IP地址分配服务。

为了为DHCP用户提供更优质的服务,网络管理员可以通过配置DHCP Snooping功能,实现DHCP攻击防范。

图8-13  配置DHCP Snooping的攻击防范功能组网图

配置思路

通过在DHCP Relay配置DHCP Snooping进行攻击防范:

  1. 配置DHCP功能,实现SwitchC转发不同网段的DHCP报文给DHCP服务器。
  2. 配置DHCP Snooping的基本功能,防止DHCP Server仿冒者攻击。同时可以使能ARP与DHCP Snooping的联动功能,保证DHCP用户在异常下线时实时更新绑定表。还可以配置丢弃GIADDR字段非零的DHCP报文,防止非法用户攻击。
  3. 配置DHCP报文上送DHCP报文处理单元的最大允许速率,防止DHCP报文泛洪攻击。同时可以使能丢弃报文告警功能,当丢弃的DHCP报文数达到告警阈值时产生告警信息。
  4. 使能对DHCP报文进行绑定表匹配检查的功能,防止仿冒DHCP报文攻击。同时可以使能与绑定表不匹配而被丢弃的DHCP报文数达到阈值时产生告警信息功能。
  5. 配置允许接入的最大用户数以及使能检测DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段是否一致功能,防止DHCP Server服务拒绝攻击。同时可以使能数据帧头MAC地址与DHCP报文中的CHADDR字段不一致被丢弃的报文达到阈值时产生告警信息功能。

本例仅涉及交换机SwitchC的配置。关于DHCP服务器的配置,本例中不予以详细介绍,只给出需要的步骤描述。

操作步骤

  1. 配置DHCP功能。

    # 在DHCP Relay设备上配置DHCP功能。

    <HUAWEI> system-view
    [HUAWEI] sysname SwitchC
    [SwitchC] dhcp server group dhcpgroup1
    [SwitchC-dhcp-server-group-dhcpgroup1] dhcp-server 10.2.1.2
    [SwitchC-dhcp-server-group-dhcpgroup1] quit
    [SwitchC] vlan batch 10 100
    [SwitchC] interface gigabitethernet 0/0/1
    [SwitchC-GigabitEthernet0/0/1] port link-type access
    [SwitchC-GigabitEthernet0/0/1] port default vlan 10
    [SwitchC-GigabitEthernet0/0/1] quit
    [SwitchC] interface gigabitethernet 0/0/2
    [SwitchC-GigabitEthernet0/0/2] port link-type access
    [SwitchC-GigabitEthernet0/0/2] port default vlan 10
    [SwitchC-GigabitEthernet0/0/2] quit
    [SwitchC] interface gigabitethernet 0/0/3
    [SwitchC-GigabitEthernet0/0/3] port link-type access
    [SwitchC-GigabitEthernet0/0/3] port default vlan 100
    [SwitchC-GigabitEthernet0/0/3] quit
    [SwitchC] dhcp enable
    [SwitchC] interface vlanif 10
    [SwitchC-Vlanif10] ip address 192.168.1.1 255.255.255.0
    [SwitchC-Vlanif10] dhcp select relay
    [SwitchC-Vlanif10] dhcp relay server-select dhcpgroup1
    [SwitchC-Vlanif10] quit
    [SwitchC] interface vlanif 100
    [SwitchC-Vlanif100] ip address 10.1.1.2 255.255.255.0
    [SwitchC-Vlanif100] quit
    [SwitchC] ip route-static 0.0.0.0 0.0.0.0 10.1.1.1
    

    # DHCP服务器IP地址配置为10.2.1.2/24,同时配置一个IP地址范围为192.168.1.0/24的地址池,地址池中网关配置为192.168.1.1。

  2. 使能DHCP Snooping基本功能。

    # 使能全局DHCP Snooping功能并配置设备仅处理DHCPv4报文。

    [SwitchC] dhcp snooping enable ipv4

    # 使能用户侧接口的DHCP Snooping功能。以GE0/0/1接口为例,GE0/0/2的配置与GE0/0/1接口相同,不再赘述。

    [SwitchC] interface gigabitethernet 0/0/1
    [SwitchC-GigabitEthernet0/0/1] dhcp snooping enable
    [SwitchC-GigabitEthernet0/0/1] quit

    # 使能ARP与DHCP Snooping的联动功能。

    [SwitchC] arp dhcp-snooping-detect enable

    # 使能检测DHCP Request报文中GIADDR字段是否非零的功能。以GE0/0/1接口为例,GE0/0/2的配置与GE0/0/1接口相同,不再赘述。

    [SwitchC] interface gigabitethernet 0/0/1
    [SwitchC-GigabitEthernet0/0/1] dhcp snooping check dhcp-giaddr enable
    [SwitchC-GigabitEthernet0/0/1] quit

  3. 配置DHCP报文上送DHCP报文处理单元的最大允许速率并使能丢弃报文告警功能。

    # 配置DHCP报文上送DHCP报文处理单元的最大允许速率为90pps。

    [SwitchC] dhcp snooping check dhcp-rate enable
    [SwitchC] dhcp snooping check dhcp-rate 90

    # 使能丢弃报文告警功能,并配置报文限速告警阈值。

    [SwitchC] dhcp snooping alarm dhcp-rate enable
    [SwitchC] dhcp snooping alarm dhcp-rate threshold 500
    

  4. 使能对DHCP报文进行绑定表匹配检查的功能并使能与绑定表不匹配而被丢弃的DHCP报文数达到阈值时产生告警信息功能。

    # 在用户侧接口进行配置。以GE0/0/1接口为例,GE0/0/2的配置与GE0/0/1接口相同,不再赘述。

    [SwitchC] interface gigabitethernet 0/0/1
    [SwitchC-GigabitEthernet0/0/1] dhcp snooping check dhcp-request enable
    [SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-request enable
    [SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-request threshold 120
    [SwitchC-GigabitEthernet0/0/1] quit

  5. 配置接口允许接入的最大用户数并使能对CHADDR字段检查功能,同时使能数据帧头MAC地址与DHCP报文中的CHADDR字段不一致被丢弃的报文达到阈值时产生告警信息功能。

    # 在用户侧接口进行配置。以GE0/0/1接口为例,GE0/0/2的配置与GE0/0/1接口相同,不再赘述。

    [SwitchC] interface gigabitethernet 0/0/1
    [SwitchC-GigabitEthernet0/0/1] dhcp snooping max-user-number 20
    [SwitchC-GigabitEthernet0/0/1] dhcp snooping check dhcp-chaddr enable
    [SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-chaddr enable
    [SwitchC-GigabitEthernet0/0/1] dhcp snooping alarm dhcp-chaddr threshold 120
    [SwitchC-GigabitEthernet0/0/1] quit

  6. 验证配置结果

    # 执行命令display dhcp snooping configuration,查看DHCP Snooping的配置信息。

    [SwitchC] display dhcp snooping configuration
    #
    dhcp snooping enable ipv4
    dhcp snooping check dhcp-rate enable
    dhcp snooping check dhcp-rate 90
    dhcp snooping alarm dhcp-rate enable
    dhcp snooping alarm dhcp-rate threshold 500
    arp dhcp-snooping-detect enable
    #
    interface GigabitEthernet0/0/1
     dhcp snooping enable
     dhcp snooping check dhcp-giaddr enable
     dhcp snooping check dhcp-request enable
     dhcp snooping alarm dhcp-request enable
     dhcp snooping alarm dhcp-request threshold 120
     dhcp snooping check dhcp-chaddr enable
     dhcp snooping alarm dhcp-chaddr enable
     dhcp snooping alarm dhcp-chaddr threshold 120
     dhcp snooping max-user-number 20
    #
    interface GigabitEthernet0/0/2
     dhcp snooping enable
     dhcp snooping check dhcp-giaddr enable
     dhcp snooping check dhcp-request enable
     dhcp snooping alarm dhcp-request enable
     dhcp snooping alarm dhcp-request threshold 120
     dhcp snooping check dhcp-chaddr enable
     dhcp snooping alarm dhcp-chaddr enable
     dhcp snooping alarm dhcp-chaddr threshold 120
     dhcp snooping max-user-number 20
    #

    # 执行命令display dhcp snooping interface,查看接口下的DHCP Snooping运行信息。可以看到Check dhcp-giaddrCheck dhcp-chaddrCheck dhcp-request字段都为Enable。以接口GE0/0/1的回显为例:

    [SwitchC] display dhcp snooping interface gigabitethernet 0/0/1
     DHCP snooping running information for interface GigabitEthernet0/0/1 :
     DHCP snooping                            : Enable
     Trusted interface                        : No
     Dhcp user max number                     : 20
     Current dhcp and nd user number          : 0
     Check dhcp-giaddr                        : Enable
     Check dhcp-chaddr                        : Enable
     Alarm dhcp-chaddr                        : Enable
     Alarm dhcp-chaddr threshold              : 120
     Discarded dhcp packets for check chaddr  : 0
     Check dhcp-request                       : Enable
     Alarm dhcp-request                       : Enable
     Alarm dhcp-request threshold             : 120
     Discarded dhcp packets for check request : 0
     Check dhcp-rate                          : Disable  (default)
     Alarm dhcp-rate                          : Disable  (default)
     Alarm dhcp-rate threshold                : 500
     Discarded dhcp packets for rate limit    : 0
     Alarm dhcp-reply                         : Disable  (default)

配置文件

# SwitchC的配置文件

#
sysname SwitchC
#
vlan batch 10 100
#
dhcp enable
#
dhcp snooping enable ipv4
dhcp snooping check dhcp-rate enable
dhcp snooping check dhcp-rate 90
dhcp snooping alarm dhcp-rate enable
dhcp snooping alarm dhcp-rate threshold 500
arp dhcp-snooping-detect enable
#
dhcp server group dhcpgroup1
 dhcp-server 10.2.1.2 0
#
interface Vlanif10
 ip address 192.168.1.1 255.255.255.0
 dhcp select relay
 dhcp relay server-select dhcpgroup1
#
interface Vlanif100
 ip address 10.1.1.2 255.255.255.0
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
 dhcp snooping enable
 dhcp snooping check dhcp-giaddr enable
 dhcp snooping check dhcp-request enable
 dhcp snooping alarm dhcp-request enable
 dhcp snooping alarm dhcp-request threshold 120
 dhcp snooping check dhcp-chaddr enable
 dhcp snooping alarm dhcp-chaddr enable
 dhcp snooping alarm dhcp-chaddr threshold 120
 dhcp snooping max-user-number 20
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
 dhcp snooping enable
 dhcp snooping check dhcp-giaddr enable
 dhcp snooping check dhcp-request enable
 dhcp snooping alarm dhcp-request enable
 dhcp snooping alarm dhcp-request threshold 120
 dhcp snooping check dhcp-chaddr enable
 dhcp snooping alarm dhcp-chaddr enable
 dhcp snooping alarm dhcp-chaddr threshold 120
 dhcp snooping max-user-number 20
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 100
#
ip route-static 0.0.0.0 0.0.0.0 10.1.1.1
#
return
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:33492

下载量:966

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页