锐捷DHCP-Snooping技术白皮书福建星网锐捷网络有限公司1未经本公司同意,严禁以任何形式拷贝锐捷DHCP-Snooping技术白皮书摘要本文介绍DHCP-Snooping和相关技术,说明了在DCHP应用环境下,如何利用DHCP-Snooping技术并结合相关技术进行安全方面的控制,包括屏蔽非法服务器、阻止用户私设IP、防止ARP欺骗等目的。关键词DHCP-SnoopingIP报文硬件过滤ARPDAIARP-Check锐捷DHCP-Snooping技术白皮书福建星网锐捷网络有限公司2未经本公司同意,严禁以任何形式拷贝技术白皮书修订记录日期修订版本修改章节修改描述作者2008-7-251.0锐捷DHCP-Snooping技术白皮书福建星网锐捷网络有限公司3未经本公司同意,严禁以任何形式拷贝目录摘要...............................................................................................................................1关键词...........................................................................................................................11缩略语.......................................................................................................................42技术应用背景.............................................................................................................43DHCP-Snooping技术分析........................................................................................53.1DHCP技术简介...............................................................................................53.2DHCP-Snooping技术简介..............................................................................63.3非法DHCP报文拦截.......................................................................................73.3.1屏蔽非法DHCP服务器........................................................................73.3.2过滤非法报文........................................................................................83.4Option82.........................................................................................................83.5提供安全过滤数据库........................................................................................83.5.1DHCP-Snooping数据库.......................................................................83.5.2提供IP报文硬件过滤数据库.................................................................93.5.3提供ARP报文过滤数据库....................................................................94DAI技术分析...........................................................................................................104.1了解ARP.......................................................................................................104.2DAI技术简介.................................................................................................114.3ARP报文限速................................................................................................114.4信任端口&非信任端口................................................................................114.5ARP报文检测步骤.........................................................................................125应用方案..................................................................................................................135.1应用部署........................................................................................................135.2应用拓扑........................................................................................................135.2DHCP-Snooping+DAI.................................................................................145.4DHCP-Snooping+ARP-Check.....................................................................165.5友商对比........................................................................................................17锐捷DHCP-Snooping技术白皮书福建星网锐捷网络有限公司4未经本公司同意,严禁以任何形式拷贝1缩略语缩略语英文全名中文解释IPInternetProtocol互联网协议DHCPDynamicHostConfigurationProtocol动态主机配置协议C/SClient/Server客户端和服务器模式DNSDomainNameSystem域名系统ARPAddressResolutionProtocol地址解析协议DAIDynamicARPInspection动态ARP检测MACMediaAccessControl介质访问控制VLANVirtualLocalAreaNetwork虚拟局域网CPUCentralProcessingUnit中央处理器FTPFileTransferProtocol文件传输协议TFTPTrivialFileTransferProtocol日常文件传送协议DoSDenialofService拒绝服务2技术应用背景DHCP(DynamicHostConfigurationProtocol,动态主机配置协议)采用客户端和服务器的运行机制,是一种简化主机IP地址配置管理的TCP/IP标准。该标准允许DHCP服务器向客户端提供IP地址和其他相关配置信息。在网络中,通过启用DHCP服务可以让DHCP客户端在每次启动后自动获取IP地址和相关配置参数,减少了配置管理。在计算机数量众多并且划分多个子网的网络中,DHCP服务的优势更加明显,它避免了因手工设置IP地址及子网掩码所产生的错误;也避免了把一个IP地址分配给多台主机所造成的地址冲突,可以大大缩短网络管理员在主机地址配置上所耗费的时间,降低了管理员的设置负担。但是,随着DHCP服务的广泛应用,也给网络管理带来一些新的问题,具体表现在:1.由于DHCP报文在客户端和服务器的交互过程中并没有认证机制,如果网络中存在非法DHCP服务器,管理员将无法保证客户端从管理员指定的DHCP服务器获取锐捷DHCP-Snooping技术白皮书福建星网锐捷网络有限公司5未经本公司同意,严禁以任何形式拷贝合法地址,客户机有可能从非法DHCP服务器获得IP地址等配置信息,导致网络地址分配混乱。2.在部署DHCP服务的子网中,如果出现用户私自设置IP地址,将有可能造成网络地址冲突,影响IP地址的正常分配。通过以上分析,必须采取有效措施来应对上述两个问题。我司推出的支持DHCP-Snooping功能的设备具有屏蔽非法DHCP服务器、过滤非法DHCP报文和防止用户私设IP的功能,可以有效解决非法DHCP服务器扰乱用户网络和防止私设IP用户使用网络。网络管理的另外一大挑战是防止ARP欺骗。当前网络中,ARP欺骗报文肆意横行,而ARP协议本身无法辨别这些报文的真实性,因此网络中的主机和设备容易被欺骗,从而导致用户无法正常使用网络。ARP欺骗造成的危害较大,目前业界都在高度关注。我司针对这一问题推出的DHCP-Snooping+DAI(DynamicARPInspection,动态ARP检测),DHCP-Snooping+ARPCheck解决方案可以有效拦截非法的ARP报文,抵御ARP欺骗,保证网络的畅通。3DHCP-Snooping技术分析3.1DHCP技术简介DHCP技术,主要用于为网络上的主机动态分配可重用IP地址,提供参数配置。DHCP采用C/S运行机制,由客户端和服务器通过DHCP报文交互,完成IP地址申请。服务器可以向客户端提供IP地址和其他主机配置参数,如子网掩码、DNS-server、default-router(默认网关)、租用时间等。在同一个子网内,一次典型的IP地址申请过程如下:图1DHCP报文交互过程1.DHCPClient发出DHCPDISCOVER广播报文给DHCPServer,若DHCPClient在一定时间内没有收到服务器的响应,则重发DHCPDISCOVER报文。锐捷DHCP-Snooping技术白皮书福建星网锐捷网络有限公司6未经本公司同意,严禁以任何形式拷贝2.DHCPServer收到DHCPDISCOVER报文后,根据一定的策略来给DHCPClient分配IP地址,发出DHCPOF