ensp 做 DHCP snooping防护

前言

1，DHCP Snooping是DHCP的一种安全特性，通过截获DHCP Client和DHCPServer之间的DHCP报文并进行分析处理，可以过滤不信任的DHCP报文并建立和维护一个DHCP Snooping绑定表。
2，该绑定表包括MAC地址、IP地址、租约时间、绑定类型、VLAN ID、接口等信息。
3，DHCP Snooping通过记录DHCPClient的IP地址与MAC地址的对应关系，保证合法用户能访问网络，作用相当于在DHCP Client和DHCPServer之间建立一道防火墙。
4，DHCP Snooping可以解决设备应用DHCP时遇到DHCP DoS（Denial ofService）攻击、DHCP Server仿冒攻击、DHCP仿冒续租报文攻击等问题。

如图所示，在这里我们模拟把PC3作为客户端，路由器AR1作为真的DHCP服务器，路由器AR2作为假的服务器（做为“黑客”服务器）。交换机LSW1应用在用户网络PC3和DHCP服务器的网络之间，为防止 jia DHCP Server仿冒（AR2）攻击，要求在LSW1上的GE 0/0/2端口应用DHCP Snooping功能，把用户侧的接口配置为Untrusted模式，把运营商网络侧的接口配置为Trusted模式，同时配置DHCP Reply报文丢弃告警功能。

实验拓扑图

（注意：12.1.1.0/24和13.1.1.0/24网段任意配置做实验）

AR1-real DHCP server的配置：（真服务器）

[ar1-real-GigabitEthernet0/0/0]ip address 12.1.1.1 24
[ar1-real-GigabitEthernet0/0/0]dhcp select global
[ar1-real]dhcp enable
[ar1-real]ip pool dhcp
[ar1-real-ip-pool-dhcp]network 12.1.1.0  mask 255.255.255.0
[ar1-real-ip-pool-dhcp]gateway-list 12.1.1.1
[ar1-real-ip-pool-dhcp]dns-list 12.1.1.1

PC3获取的ip地址为：（此时的PC3客户端是从AR1真的DHCP服务器获取到的IP地址）

AR2-jia DHCP server 的配置：

[ar2-jia]int g0/0/0
[ar2-jia-GigabitEthernet0/0/0]ip address 13.1.1.1 24
[ar2-jia-GigabitEthernet0/0/0]dhcp select interface

PC3重新获取ip地址为：
此时的PC3获取到的IP地址不稳定，可能是从仿冒者那里获取的13.1.1.0/24网段的IP地址

抓包查看：

然后我们在LSW1连接AR1 real dhcp server 的接口做snooping功能。

LSW1交换机开启snooping功能：

[LSW1]dhcp enable
[LSW1]dhcp snooping enable

[LSW1-vlan1]dhcp snooping enable

配置指定接口为Trusted模式
[LSW1]int g0/0/2
[LSW1-GigabitEthernet0/0/2]dhcp snooping trusted

同时开启DHCP Reply报文丢弃告警功能
[LSW1-GigabitEthernet0/0/2]dhcp snooping alarm dhcp-reply enable threshold 120

PC3重新获取IP地址(多次执行ipconfig /renew发现没有获取仿冒者的IP地址段)

查看LSW1的mac绑定列表

[LSW1-GigabitEthernet0/0/2]dis dhcp snooping user-bind vlan 1

此时PC3的mac被绑定在LSW1的GE 0/0/2接口上了
这样就简单实现了DHCP snooping防护