免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 备份版区 攻防交流区 实例解析局域网防止私开DHCP服务器
最近访问板块 发新帖
查看: 3374 | 回复: 0
打印 上一主题 下一主题

实例解析局域网防止私开DHCP服务器 [复制链接]

6

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2008-04-21 20:01 |只看该作者 |倒序浏览
应用实例 \r\n  我校1#学生公寓,PC拥有数量大约1000台。采用DHCP分配IP地址,拥有4个C类地址,实际可用地址数约1000个。由于楼内经常存在私开的DHCP服务器,导致大量主机无法分配到合法IP地址;另外,由于有相当数量的主机指定IP地址,因此造成了与DHCP分配的IP地址冲突。以上两方面,均造成了该公寓楼大量主机无法正常访问网络。\r\n\r\n  经过一段时间的分析、实验,我们决定对该公寓楼部署DHCP Snooping和Dynamic ARP Inspection两项技术,以保证网络的正常运行。\r\n\r\n  该公寓网络设备使用情况如下,接入层为××台 2950交换机上联至堆叠的4台 3750,再通过光纤上联至汇聚层的 3750交换机。同时汇聚层的 3750交换机还兼做DHCP服务器。\r\n\r\n  部署过程\r\n\r\n  首先按如下过程配置DHCP Snooping\r\n\r\n  1 configure terminal\r\n\r\n  2 ip dhcp snooping 在全局模式下启用DHCP Snooping\r\n\r\n  3 ip dhcp snooping vlan 103 在VLAN 103中启用DHCP Snooping\r\n\r\n  4 ip dhcp snooping information option Enable the switch to insert and remove DHCP relay information(option-82 field) in forwarded DHCP request messages to the DHCP server. The default is enabled.\r\n\r\n  5 interface GigabitEthernet1/0/28,进入交换机的第28口\r\n\r\n  6 ip dhcp snooping trust 将第28口设置为受信任端口\r\n\r\n  7 ip dhcp snooping limit rate 500 设置每秒钟处理DHCP数据包上限\r\n\r\n  9 end 退出\r\n\r\n  完成配置后,可用如下命令观察DHCP Snooping运行状况:\r\n\r\n  show ip dhcp snooping\r\n\r\n  得到如下信息:\r\n\r\n  Switch DHCP snooping is enabled\r\n\r\n  DHCP snooping is configured on following VLANs:\r\n 103\r\n\r\n  Insertion of option 82 is enabled\r\n\r\n  Verification of hwaddr field is enabled\r\n\r\n  Interface Trusted Rate limit (pps)\r\n\r\n  ------------------------ ------- ----------------\r\n\r\n  GigabitEthernet1/0/22 yes unlimited\r\n\r\n  GigabitEthernet1/0/24 yes unlimited\r\n\r\n  GigabitEthernet1/0/27 yes unlimited\r\n\r\n  GigabitEthernet1/0/28 no 500\r\n\r\n  show ip dhcp snooping binding,得到如下信息:\r\n\r\n  MacAddress IpAddress Lease(sec) Type VLAN Interface\r\n\r\n  ------------------ --------------- ---------- ------------- ---- -----------------------------------------------------------\r\n\r\n  00:11:09:11:51:16 210.77.5.201 3209 dhcp-snooping 103 GigabitEth ernet1/0/28\r\n\r\n  00:50:8D:63:5A:05 210.77.6.134 2466 dhcp-snooping 103 GigabitEthernet1/0/28\r\n\r\n  00:E0:4C:A17:80 210.77.4.26 3070 dhcp-snooping 103 GigabitEthernet1/0/28\r\n\r\n  00:0F:EA:A8:BC:22 210.77.5.198 1887 dhcp-snooping 103 GigabitEthernet1/0/28\r\n\r\n  10:E0:8C:50:805 210.77.5.95 3034 dhcp-snooping 103 GigabitEthernet1/0/28\r\n\r\n  00:03:0D:0E:9A:A5 210.77.6.230 3144 dhcp-snooping 103 GigabitEthernet1/0/28\r\n\r\n  00:50:8D:6C:08:9F 210.77.4.17 3012 dhcp-snooping 103 GigabitEthernet1/0/28\r\n\r\n  00:E0:50:00:0B:54 210.77.6.18 3109 dhcp-snooping 103 GigabitEthernet1/0/28\r\n\r\n  00:0F:EA:13:40:54 210.77.7.7 2631 dhcp-snooping 103 GigabitEthernet1/0/28\r\n\r\n  00:E0:4C:45:21:E9 210.77.7.77 2687 dhcp-snooping 103 GigabitEthernet1/0/28\r\n 接下来配置Dynamic ARP Inspection\r\n\r\n  1 show cdp neighbors 检查交换机之间的连接情况\r\n\r\n  Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge\r\n\r\n  S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone\r\n\r\n  Device ID Local Intrfce Holdtme Capability Platform Port ID\r\n\r\n  ap Gig 1/0/23 149 T AIR-AP1230Fas 0\r\n\r\n  hall-3750 Gig 1/0/27 135 S I WS-C3750-2Gig 1/0/1\r\n\r\n  1#west-3750 Gig 1/0/28 173 S I WS-C3750G-Gig 1/0/25\r\n\r\n  2 configure terminal 进入全局配置模式\r\n\r\n  3 ip arp inspection vlan 103 在VLAN 103上启用Dynamic ARP Inspection\r\n\r\n  4 interface GigabitEthernet1/0/28 进入第28端口\r\n\r\n  5 ip arp inspection trust 将端口设置为受信任端口\r\n\r\n  The switch does not check ARP packets that it receives from the other switch on the trusted interface. It simply forwards the packets.\r\n\r\n  6 end\r\n\r\n  配置完成后可以用如下命令观察Dynamic ARP Inspection的运行情况\r\n\r\n  show arp access-list [acl-name] Displays detailed information about ARP ACLs.\r\n\r\n  show ip arp inspection interfaces [interface-id] Displays the trust state and the rate limit of ARP packets for the specified interface or all interfaces.\r\n\r\n  Interface Trust State Rate (pps) Burst Interval\r\n\r\n  --------------- ----------- ---------- --------------\r\n\r\n  Gi1/0/21 Untrusted 15 1\r\n\r\n  Gi1/0/22 Trusted None N/A\r\n\r\n  Gi1/0/23 Untrusted 15 1\r\n\r\n  Gi1/0/24 Trusted None N/A\r\n\r\n  Gi1/0/25 Untrusted 15 1\r\n Gi1/0/26 Untrusted 15 1\r\n\r\n  Gi1/0/27 Trusted None N/A\r\n\r\n  Gi1/0/28 Untrusted None N/A\r\n\r\n  show ip arp inspection vlan vlan-range, Displays the configuration and the operating state of dynamic ARP inspection for all VLANs configured on the switch, for a specified VLAN, or for a range of VLANs.\r\n\r\n  yql-2#-3750#sh ip arp inspection vlan 103\r\nSource Mac Validation : Disabled\r\n\r\n  Destination Mac Validation : Disabled\r\n\r\n  IP Address Validation : Disabled\r\n\r\n  Vlan Configuration Operation ACL Match Static ACL\r\n\r\n  ---- ------------- --------- --------- ----------\r\n\r\n  103 Enabled Active\r\n\r\n  Vlan ACL Logging DHCP Logging\r\n\r\n  ---- ----------- ------------\r\n\r\n  103 Deny Deny\r\n\r\n  注意事项:\r\n\r\n  DHCP Snooping\r\n\r\n  l 在配置DHCP Snooping以前,必须确认该设备作为DHCP服务器。\r\n\r\n  l 建议对非信任端口的上限不要超过100。对于被设置为受信任的trunk端口,需要适当增加\r\n\r\n  Dynamic ARP Inspection\r\n\r\n  必须限制trunk端口处理ARP包的数量\r\n\r\n  五、一些问题的讨论\r\n\r\n  在实际使用过程中我们发现,在配置完上述命令后, 3750交换机会在运行一段时间以后变得缓慢,CPU利用率达到100%,性能严重下降。经过分析我们发现,在开始应用Dynamic ARP Inspection时,交换机会记录大量的数据包,当端口通过的数据包过多时,交换机会认为遭受DoS攻击,从而将端口自动errdisable,造成通信中断。为了解决这个问题,我们需要加入命令errdisable recovery cause arp-inspection。\r\n\r\n  由于 3750交换机能力有限,因此我们建议在使用 3750交换机配置上述命令时应逐级增大port limit \r\n 六、小结\r\n\r\n  DHCP服务在网络中的广泛应用,极大地减轻了网络管理员的负担,方便了用户使用网络。但是由于有些用户私自指定IP地址,造成了IP地址自动分配时引起的IP地址冲突,进而影响其他用户的使用。我们经过实际测试,给出了上述解决方案,本方法不仅适合于的3750交换机,也适用于的65系列交换机。\r\n\r\n  DHCP防指定IP地址的方法在我校已经得到了成功的应用,经过实践检验,我们认为这是一个非常实用的功能。在系统设置好以后,网络中的用户只有设置为自动获取IP地址才能上网,否则将无法上网。从而解决了在使用DHCP的网络中,用户私自指定IP地址而带来的IP地址冲突问题。\r\n\r\n  如果公司内网由于用户自行安装了Windows Server版本的操作系统而小心启用了DHCP服务,或其他因素在内网中出现了非授权的DHCP服务器,会给网络造成什么样的影响呢?\r\n\r\n  DHCP server可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS 等网络参数,简化了用户网络设置,提高了管理效率。但是,此时如果服务器和客户端没有认证机制,网络上存在的非法的DHCP服务器将会给部分主机的地址分配、网关及DNS参数照成混乱,导致主机无法连接到外部网络。出现这种情况,如何解决这些问题呢?\r\n\r\n  作为客户端计算机来说,可以尝试使用ipconfig /release释放获得的网络参数后,然后用ipconfig /renew重新尝试获取正确的DHCP服务器配置服务,但这种方法很被动,往往要十几次甚至几十次才偶尔有可能成功一次,不能从根本解决问题。\r\n\r\n  另外一个解决办法,在windows系统组建的网络中,如果非法DHCP服务器也是用Windows系统建立的话我们可以通过“域”的方式对非法DHCP服务器进行过滤。将合法的DHCP服务器添加到活动目录(Active Directory)中,通过这种认证方式就可以有效的制止非法DHCP服务器了。原理就是没有加入域中的DHCP Server在相应请求前,会向网络中的其他DHCP Server发送DHCPINFORM查询包,如果其他DHCP Server有响应,那么这个DHCP Server就不能对客户的要求作相应,也就是说网络中加入域的DHCP服务器的优先级比没有加入域的DHCP服务器要高。这样当合法DHCP存在时非法的就不起任何作用了。\r\n\r\n授权合法DHCP的过程如下:\r\n\r\n  第一步:开始->程序->管理工具->DHCP\r\n\r\n  第二步:选择DHCP root, 用鼠标右键单击,然后浏览选择需要认证的服务器。\r\n\r\n  第三步:点“添加”按钮, 输入要认证的DHCP服务器IP地址, 完成授权操作。\r\n\r\n  但是该方法只适用于非法DHCP服务器是windows系统,需要用到域和活动目录,配置较复杂,另外对于非Windows的操作系统,就显得力不从心了。\r\n\r\n  还有更好的方法,就是利用交换机的DHCP监听,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,也就是过滤掉非法DHCP服务器向网络上发送的数据包。首先定义交换机上的信任端口和不信任端口,将DHCP服务器所连接的端口定义为信任端口,其它连接到普通客户端的端口全部定义为不信任端口,对于不信任端口的DHCP报文进行截获和嗅探,drop掉来自这些端口的非正常 DHCP 报文,从而达到过滤非法DHCP服务器的目的。\r\n\r\n  基本配置示例:\r\n\r\n  switch(config)#ip dhcp snooping vlan 100,200\r\n\r\n  /* 定义哪些 VLAN 启用 DHCP 嗅探\r\n\r\n  switch(config)#ip dhcp snooping\r\n\r\n  switch(config)#int fa4/10 /* dhcp服务器所在端口\r\n\r\n  switch(config-if)#ip dhcp snooping trust\r\n\r\n  switch(config)#int range fa3/1 - 48 /* 其它端口\r\n\r\n  switch(config-if)#no ip dhcp snooping trust (Default)\r\n\r\n  switch(config-if)#ip dhcp snooping limit rate 10 (pps)\r\n\r\n  /* 一定程度上防止 DHCP 拒绝服 /* 务攻击
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP