DHCP Snooping简介和实现思路

DHCP Snooping是思科的私有协议,根据位于DHCP服务器和DHCP客户端之间的二层交换机监听到的DHCP协议报文来获取到网路中“可信任”的客户端信息并记录为“数据库”,根据此“数据库”实现对客户端所在VLAN网络的流量和协议报文等进行过滤控制,并可在此基础上实现一下简单的网络安全功能。

在交换机上,DHCP Snooping使能的最小单元是一个VLAN,在一个使能了DHCP Snooping的VLAN内,管理员将连接“可信”的DHCP服务器的二层端口设置为trust端口,将其他端口设置为untrust端口。untrust端口的DHCP服务器报文(offer、ack、nak等报文)必须直接丢弃,不能继续在VLAN内转发,以防止VLAN内的客户端被非法服务器劫持,而trust端口的所有DHCP报文均可向往常一样在VLAN内转发。untrust端口的DHCP客户端报文(discover、request等)可以向往常一样在VLAN内转发(不过在有些实现上,trust端口的客户端报文也只限定向该VLAN的trust端口转发)。在这些限定下,监听到合法的DHCP客户端disvoer或者request报文后,交换机可以记录下客户请求信息(VLAN、端口、MAC、请求的IP),等到合法的DHCP服务器响应(offer、ack)后,即可将这些客户信息转换为DHCP Snooping表。这就是DHCP snooping动态表项的生产过程,管理员还可以将静态表项配置添加到这张表中。

有了这张表,交换机就可以在此基础上做一些过滤和监控动作来实现一些安全特性,例如ISG(IP源地址保护)和DAI(动态ARP检测)等,这里就不多介绍了。

不过,我还是有一点点疑惑,DHCP snooping表项的建立原则实际是DHCP服务器授权,只要DHCP服务器授权了的主机(IP和mac二元组)就是DHCP Snooping“信任”的主机。可是,那些不安分分子要得到DHCP服务器的这种授权,实在是很容易的啊。那ISG和DAI等建立在DHCP Snooping基础上的安全特性还不是非常的不安全?

发表评论

电子邮件地址不会被公开。 必填项已用 * 标注

*

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>