网络管理员：现在用户真是不省心，自己改个IP地址；私接AP、忘关DHCP，还有的下个小黑客程序，就想在你内网里试试。单靠交换机能管吗？

    测试工程师：能！很多交换机上的小功能都可帮大忙。

    测试实况：

    IP与MAC绑定

    思科的Catalyst 3560交换机支持DHCP Snooping功能，交换机会监听DHCP的过程，交换机会生成一个IP和MAC地址对应表。思科的交换机更进一步的支持IP source guard和Dynamic ARP Inspection功能，这两个功能任启一个都可以自动的根据DHCP Snooping监听获得的IP和MAC地址对应表，进行绑定，防止私自更改地址。

    Dynamic ARP Inspection功能还有一个好处是可以防范在2层网络的中间人攻击（见图4）。

    思科在DHCP Snooping上还做了一些非常有益的扩展功能，比如Catalyst 3560交换机可以限制端口通过的DHCP数据包的速率，粒度是pps，这样可以防止对DHCP服务器的进行地址请求的DoS攻击。另外Catalyst 3560交换机还支持DHCP Tracker，在DHCP请求中插入交换机端口的ID，从而限制每个端口申请的IP地址数目，防止黑客程序对DHCP服务器进行目的为耗尽IP地址池的攻击。华硕虽然不能调整速率，但是也会限制DHCP请求的数量。

    DHCP（动态主机配置协议）是一种简化主机IP地址配置管理的TCP/IP标准。该标准为DHCP服务器的使用提供了一种有效的方法：即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。

    在基于TCP／IP协议的网络中，每台计算机都必须有唯一的IP地址才能访问网络上的资源，网络中计算机之间的通信是通过IP地址来实现的，并且通过IP地址和子网掩码来标识主计算机及其所连接的子网。在局域网中如果计算机的数量比较少，当然可以手动设置其IP地址，但是如果在计算机的数量较多并且划分了多个子网的情况下，为计算机配置IP地址所涉及的管理员工作量和复杂性就会相当繁重，而且容易出错，如在实际使用过程中，我们经常会遇到因IP地址冲突、网关或DNS服务器地址的设置错误导致无法访问网络、机器经常变动位置而不得不频繁地更换IP地址等问题。

    DHCP则很好地解决了上述的问题，通过在网络上安装和配置DHCP服务器，启用了DHCP的客户机可在每次启动并加入网络时自动地获得其上网所需的IP地址和相关的配置参数。从而减少了配置管理，提供了安全而可靠的配置。

    配置DHCP服务的服务器可以为每一个网络客户提供一个IP地址、子网掩码、缺省网关，以及DNS服务器的地址。DHCP避免了因手工设置IP地址及子网掩码所产生的错误，也避免了把一个IP地址分配给多台主机所造成的地址冲突。降低了IP地址管理员的设置负担，使用DHCP服务器可以大大地缩短配置网络中主机所花费的时间。

    但是，随着DHCP服务的广泛应用，也产生了一些问题。首先，DHCP服务允许在一个子网内存在多台DHCP服务器，这就意味着管理员无法保证客户端只能从管理员所设置的DHCP服务器中获取合法的IP地址，而不从一些用户自建的非法DHCP服务器中取得IP地址；其次，在部署DHCP服务的子网中，指定了合法的IP地址、掩码和网关的主机也可以正常地访问网络，而DHCP服务器却仍然会有可能将该地址分配给其他主机，这样就会造成地址冲突，影响IP地址的正常分配。

    针对上述问题，本文给出了一个解决方案，即通过使用Cisco提供的DHCP Snooping技术和Dynamic ARP Inspection技术，可以有效地防止以上问题的发生。

    这里首先对两种技术做一个简要的介绍，然后将给出一个应用实例加以说明。

    二、DHCP Snooping技术DHCP Snooping是一种通过建立DHCP Snooping Binding数据库，过滤非信任的DHCP消息，从而保证网络安全的特性。DHCP Snooping就像是非信任的主机和DHCP服务器之间的防火墙。通过DHCP Snooping来区分连接到末端客户的非信任接口和连接到DHCP服务器或者其他交换机的受信任接口。

    DHCP Snooping Binding数据库包括如下信息：MAC地址、IP地址、租约时间、binding类型、VLAN ID以及来自本地非信任端口的接口信息，但不包含通过受信任端口互相连接的接口信息。在启用了DHCP Snooping的VLAN中，如果交换机收到来自非信任端口的DHCP包，交换机将对目的MAC地址和DHCP客户端的地址进行对比，如果符合则该包可以通过，否则将被丢弃掉。

    在下述情况中，DHCP包将同样被丢弃：

    l 来自外网或者防火墙的DHCP服务器，包括DHCPOFFER、DHCPACK、DHCPNAK、DHCPLEASEQUERY.

    l 来自非信任端口，且目的MAC地址和DHCP客户端的硬件地址不匹配。

    l 交换机收到DHCPRELEASE或者DHCPDECLINE的广播信息，其MAC地址包含在DHCP snooping binding 数据库中，但与数据库中的接口信息不匹配

    l 通过DHCP中继代理转发的包不包括在内

    三、Dynamic ARP Inspection技术Dynamic ARP inspection是一种验证网络中ARP包的安全特性，可以阻止、记录并丢弃非法IP和MAC地址绑定的ARP包。

    Dynamic ARP inspection保证只有合法的ARP请求和响应可以传播。交换机会完成如下工作，截取所有来自非信任端口ARP请求和响应，在更新ARP缓存或传播数据包之前验证所截取的数据包IP-MAC地址绑定是否合法，丢弃非法的ARP包。

    前面提到，DHCP Snooping会建立一个包含合法IP-MAC地址绑定信息的数据库，Dynamic ARP inspection基于该数据库检验所截取ARP包的合法性。如果ARP包来自非信任接口，那么只有合法的可以通过。如果来自受信任端口，将可以直接通过。

[1] [2] [3] 下一页