一 DHCP簡介

網(wǎng)絡(luò)的普及與網(wǎng)絡(luò)技術(shù)的成熟，現(xiàn)在的人越離不開網(wǎng)絡(luò)，個人的手機，電腦，智能家居設(shè)備等都需要網(wǎng)絡(luò)，我們的這些用網(wǎng)的設(shè)備無論是在在訪問Internet網(wǎng)，還是局域網(wǎng)內(nèi)部通信都離開不了IP地址的支持，IP地址就是這些硬件在網(wǎng)絡(luò)上互相交互信息時用來區(qū)分彼此的"名字"，無論你是使用IPv6還是IPv4，都需要給你的網(wǎng)絡(luò)設(shè)備分配一個對應(yīng)的地址。

IP地址在計算機的世界里是一段有規(guī)律的0和1（二進制數(shù)），IPv4地址32位的0和1，IPv6地址128位的0和1，我們?nèi)藷o論是去記憶還是手寫這些二進制的0和1都是非常困難的，可是沒有IP地址你的電腦即使連接了網(wǎng)線，也向運營商辦理了寬帶，上網(wǎng)的基礎(chǔ)環(huán)境也準備好了，也就是無法訪問網(wǎng)絡(luò)的。而大叔非網(wǎng)絡(luò)專業(yè)相關(guān)的人員不要說去記憶或者配置這些IP地址了，可能對于IP地址的組合與識別都做不到。

既為了簡化IP地址的使用，又為了把網(wǎng)絡(luò)管理人員從IP地址配置的重復(fù)工作中解放出來，網(wǎng)絡(luò)技術(shù)里加入了DHCP-- Dynamic Host Configuration Protocol動態(tài)主機配置協(xié)議。DHCP服務(wù)可以為網(wǎng)絡(luò)中的接入終端（電腦，手機等普通的用戶設(shè)備）自動下發(fā)一個正確且不重復(fù)的IP地址；同時為了使得用戶可以正常訪問網(wǎng)絡(luò)，DHCP服務(wù)還會為終端設(shè)備下發(fā)管理員指定正確的GW-網(wǎng)關(guān)地址（提供跨網(wǎng)段訪問）和DNS（提供IP地址與域名的解析）服務(wù)器地址。

局域網(wǎng)成員無法正常上網(wǎng)的頑疾---DHCP服務(wù)器"泛濫"

如圖DHCPserver為接入的終端PC-1到PC-3提供IP地址，掩碼，網(wǎng)關(guān)，DNS等上網(wǎng)必須信息。

DHCP服務(wù)的正確使用可以為接入終端上網(wǎng)帶來極大的便利，可是如果如果因為錯誤配置及部署導(dǎo)致網(wǎng)絡(luò)中存在多個DHCP服務(wù)器就會帶來嚴重問題。因為網(wǎng)絡(luò)管理員指定的DHCP服務(wù)器里配置和網(wǎng)段和網(wǎng)關(guān)地址是當(dāng)前網(wǎng)絡(luò)設(shè)備（主要是網(wǎng)關(guān)路由器）所認識的，這樣獲得IP地址的終端設(shè)備是可以找到正確的網(wǎng)關(guān)，通過正確的網(wǎng)關(guān)設(shè)備訪問公網(wǎng)。

從上面的拓撲與測試環(huán)境就可以看到獲得192.168.1.0網(wǎng)段IP地址的PC-1是可以訪問外網(wǎng)的，因為這個網(wǎng)段的IP地址我們的網(wǎng)關(guān)GW是可以識別的，網(wǎng)關(guān)路由器上并不存在172.168.1.0網(wǎng)段的路由，所以無法處理此網(wǎng)段成員的數(shù)據(jù)。而且網(wǎng)絡(luò)中存在于網(wǎng)關(guān)設(shè)備不匹配的DHCP服務(wù)器，會影響網(wǎng)絡(luò)的多個終端設(shè)備的正常訪問。DHCP功能又是網(wǎng)絡(luò)設(shè)備最基本的功能之一，所以很多家用的路由器想TP-Link，小米，華為家用路由器都可以當(dāng)作一臺DHCP服務(wù)器，而這些家用路由器配置簡單，很多人都即插即用，一般用在接口擴展或者無線擴展，但很多人并不清楚這些路由器默認運行這DHCP功能，有著缺省的DHCP參數(shù)，再不關(guān)閉DHCP功能就接入到網(wǎng)絡(luò)中，就會為正常的網(wǎng)絡(luò)運作埋藏隱患或者造成無法上網(wǎng)的故障。

二 DHCP Snooping簡介

終端設(shè)備向DHCP服務(wù)器請求地址時發(fā)送的是DHCP的廣播消息，這樣在網(wǎng)絡(luò)中的（一個廣播域且不涉及DHCP中繼的情況）所有設(shè)備都會收到此請求信息，如果網(wǎng)絡(luò)中存在多個多個DHCP服務(wù)器或者具有DHCP功能的設(shè)備都會對這個請求消息做出響應(yīng)，我們的終端設(shè)備是無法分辨哪個是合法的DHCP服務(wù)器，哪個是非法的，也無法分辨哪個DHCP服務(wù)器的回應(yīng)的網(wǎng)段是可用的，下發(fā)的網(wǎng)關(guān)地址是安全的，如果把終端設(shè)備請求地址比做人組房子，那我們房客一般是無法分辨出哪些中介（DHCP服務(wù)器）是合法的哪些是黑心的？

如果終端設(shè)備收到多個DHCP服務(wù)器的的回應(yīng)，終端設(shè)備會按照"先到先得"的原則來使用第一個到達終端設(shè)備的DHCP數(shù)據(jù)包中的IP地址。在如今稍微有點規(guī)模的網(wǎng)絡(luò)中網(wǎng)絡(luò)規(guī)劃中會設(shè)定單獨的DHCP服務(wù)器，而且距離用戶的接入層相較來說有點遠，而用戶私自接入的DHCP服務(wù)器的數(shù)據(jù)包往往在接入層，直接面向終端，這樣只要接入端有一臺私自接入DHCP服務(wù)器，就會影響到終端的接入端成員，造成成片區(qū)域的用戶因為獲得錯誤的IP地址及網(wǎng)關(guān)地址而無法正常訪問網(wǎng)絡(luò)。

為了防止私自接入或者惡意接入DHCP服務(wù)器造成網(wǎng)絡(luò)中的終端設(shè)備獲得錯誤的IP地址和網(wǎng)關(guān)地址而導(dǎo)致的網(wǎng)絡(luò)無法正常訪問，也為了防止網(wǎng)絡(luò)攻擊者惡意部署DHCP服務(wù)器將向內(nèi)網(wǎng)用戶下發(fā)攻擊者指定的網(wǎng)關(guān)地址，導(dǎo)致內(nèi)網(wǎng)用戶訪問外網(wǎng)的數(shù)據(jù)引導(dǎo)至非法網(wǎng)關(guān)導(dǎo)致用戶數(shù)據(jù)的泄露。

1 DHCP Snooping原理

DHCP Snooping是DHCP安全特性，通常部署在接入端的交換機上，開啟DHCP Snooping功能的交換機會將所有的接口針對DHCP報文設(shè)定為不信任狀態(tài)---即不轉(zhuǎn)發(fā)或者上傳任何DHCP的請求和回應(yīng)報文，對于連接合法DHCP服務(wù)器的接口設(shè)置為信任接口，可以正常發(fā)送DHCP報文。

使用DHCP Snooping功能后我們就可以有效的防止因為用戶私自接入具有DHCP功能設(shè)備下發(fā)錯誤的IP及網(wǎng)關(guān)地址導(dǎo)致網(wǎng)絡(luò)內(nèi)的用戶無法正常上網(wǎng)的問題，同時也可以防止針對DHCP發(fā)起的各類攻擊，如DHCP餓死攻擊---攻擊者發(fā)送大量的DHCP請求報文，將DHCP服務(wù)器的IP地址池里的地址占用殆盡，造成合法用戶無地址可用；DHCP的續(xù)租報文攻擊—攻擊者冒充合法用戶不斷續(xù)租DHCP下發(fā)的IP地址，即使使用此IP地址的合法用戶依據(jù)下線，DHCP服務(wù)器也無法正常回收地址。

接下來我們通過實驗來驗證DHCP Snooping開啟前與開啟后的區(qū)別

2 DHCP Snooping部署

1---沒有開啟DHCP Snooping時交換機對于DHCP數(shù)據(jù)包的處理

，

我們在沒有開啟圖中接入交換機SW-2的DHCP Snooping的情況下，開機電腦PC-3，讓他通過DHCP自動獲得IP地址，這時我們會發(fā)現(xiàn)PC-3獲取了非法DHCP服務(wù)器提供的 172.168.1.0/24網(wǎng)段的IP地址，因為這個非法服務(wù)器（172.168.1.0）距離電腦比合法DHCP服務(wù)器（192.168.1.0）要"更近"（物理距離上），所以即使PC-3的DHCP請求包這兩臺DHCP服務(wù)器都收到并且都做了回應(yīng)，PC-3依然只接收了來自非法DHCP服務(wù)器的提供的IP地址。

2---接下來我們在SW-2上開啟DHCP Snooping功能繼續(xù)在SW-2的G0/0/5接口配置IP地址。

[SW-2]dhcp enable ---------交換機要運行DHCP Snooping功能，先必須開啟這臺交換機的DHCP功能

[SW-2]

[SW-2]dhcp snooping enable -----運行DHCP Snooping功能

[SW-2]

[SW-2]vlan 1---------------------------------------進入連接vlan 1

[SW-2-vlan1]

[SW-2-vlan1]dhcp snooping enable--------------------在vlan 進程下開啟DHCP Snooping功能，這樣這個vlan 1的所有接口的DHCP Snooping特性就開啟了，默認處于不信任狀態(tài)，不轉(zhuǎn)發(fā)DHCP的請求與回應(yīng)報文

[SW-2-vlan1]qui

[SW-2-vlan1]quit

[SW-2]

開啟DHCP Snooping后交換機對DHCP報文進行丟棄，不做轉(zhuǎn)發(fā)，所以PC-7的DHCP請求包其實沒有送到整個環(huán)境中的任何一臺DHCP服務(wù)器，就算送到了，受DHCP Snooping的作用，交換機也不會對不信任接口的DHCP應(yīng)答報文進行轉(zhuǎn)發(fā)。

我們繼續(xù)部署，配置SW-2的 G0/0/1接口為信任接口，這個接口可以轉(zhuǎn)發(fā)DHCP服務(wù)器的報文；這里我們只需要在連接DHCP服務(wù)器的接口或者DHCP服務(wù)器方向的接口配置信任即可（當(dāng)DHCP服務(wù)器沒有在在開啟DHCP Snooping功能的交換機上直連時）