Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

了解和使用可信 DHCP 服务器

了解可信和不可信的端口和 DHCP 服务器

DHCP 服务器向网络的 DHCP 客户端提供 IP 地址和其他配置信息。为 DHCP 服务器使用可信端口可抵御发送租赁的恶意 DHCP 服务器。

不可信端口会丢弃来自 DHCP 服务器的流量,以防止未经授权的服务器向客户端提供任何配置信息。

默认情况下,所有中继端口都信任 DHCP,所有接入端口不受信任。

您可以配置默认行为的替代项,将中继端口设置为不可信端口,从而阻止来自该接口的所有入口 DHCP 服务器消息。这对于防止恶意 DHCP 服务器攻击非常有用,攻击者已将未经授权的服务器引入网络中。此服务器提供给 DHCP 客户端的信息可能会中断其网络访问。未经授权的服务器也可能将自己分配为网络的默认网关设备。随后,攻击者可以嗅到网络流量并实施中间人攻击,也就是说,攻击者会将用于合法网络设备的信息流误定向到其选择的设备。

您也可将接入端口配置为可信端口。如果将 DHCP 服务器连接到接入端口,则必须将端口配置为可信端口。在执行此操作之前,请确保服务器的物理安全,即监控和控制对服务器的访问。

启用可信 DHCP 服务器 (ELS)

注意:

此示例使用支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机的 Junos OS。

您可以将连接到 DHCP 服务器的交换机上的任何接口配置为可信接口(端口)。在可信接口上配置 DHCP 服务器可防止恶意 DHCP 服务器发送租赁。

默认情况下,所有接入接口均不受信任,并且所有中继接口均可信。但是,您可以在 VLAN 中配置一组接入接口,指定某个接口属于该组,然后将组配置为可信的,从而覆盖访问接口的默认设置。

配置可信 DHCP 服务器之前,必须配置 VLAN。请参阅 为支持 ELS 的 EX 系列交换机配置 VLAN(CLI 过程)

要使用 CLI 将不受信任的访问接口配置为 DHCP 服务器的可信接口:

  1. 使用特定接入接口在 VLAN 中配置组:
  2. 将该组配置为 trusted 使组中包含的指定接口成为可信接口:

启用可信 DHCP 服务器(非 ELS)

通过使用可信的 DHCP 服务器和端口,您可以防止恶意 DHCP 服务器在您的网络上发送恶意租赁。默认情况下,对于 DHCP,所有中继端口均可信,并且所有接入端口不受信任。您只能在接口上设置 DHCP 服务器;也就是说,不支持使用 VLAN。

可信端口允许 DHCP 服务器向请求设备提供 IP 地址和其他信息。不可信端口会丢弃来自 DHCP 服务器的流量,以防止未经授权的服务器向客户端提供任何配置信息。

要配置端口以托管 DHCP 服务器,请从 Junos CLI 输入以下命令:

其中, ge-0/0/8 接口是任何对您的网络有效的可信且物理安全的接口。

启用可信 DHCP 服务器(MX 系列路由器)

您可以将连接到 DHCP 服务器的交换设备上的任何接口配置为可信接口(端口)。在可信接口上配置 DHCP 服务器可防止恶意 DHCP 服务器发送租赁。

默认情况下,所有接入接口均不受信任,并且所有中继接口均可信。但是,您可以在桥接域中配置一组接入接口,指定某个接口属于该组,然后将组配置为可信组,从而覆盖访问接口的默认设置。

配置可信 DHCP 服务器之前,必须配置桥接域。

要使用 CLI 将不受信任的访问接口配置为 DHCP 服务器的可信接口:

  1. 使用特定接入接口在桥接域内配置组:

  2. 将该组配置为 trusted 使组中包含的指定接口成为可信接口:

验证可信 DHCP 服务器是否工作正常

目的

验证 DHCP 可信服务器是否在交换机上工作。了解当 DHCP 服务器可信,然后不受信任时会发生什么。

行动

从连接到交换机的网络设备(此处为 DHCP 客户端)发送一些 DHCP 请求。

当 DHCP 服务器连接到交换机的接口可信时,显示 DHCP 侦听信息。当从 MAC 地址发送请求且服务器已提供 IP 地址和租赁时,以下输出结果:

意义

当 DHCP 服务器连接到交换机的接口设置为可信接口时,输出(请参阅之前的示例)显示每个 MAC 地址、分配的 IP 地址和租赁时间,即租赁到期前剩余的时间(即几秒钟)。

如果 DHCP 服务器配置为不可信,则不会将条目添加到 DHCP 侦听数据库中,并且命令输出 show dhcp snooping binding 中将不显示任何条目。

将中继接口配置为不可信的 DHCP 安全性(CLI 过程)

配置一组接口之前,必须配置 VLAN。请参阅 为支持 ELS 的 EX 系列交换机配置 VLAN(CLI 过程)

不可信的中继接口在 VLAN 上启用时支持以下 DHCP 安全功能:

  • DHCP 和 DHCPv6 侦听

  • 动态 ARP 检测

  • IPv6 邻居发现检测

要将中继接口配置为不可信接口,必须在 VLAN 中配置一组接口,将中继接口添加至组,然后将组配置为可信组。组必须至少有一个接口。

要将中继接口配置为不可信的 DHCP 安全性:

  1. 在 VLAN 中配置组,其中中继接口为成员:
  2. 将组配置为 untrusted 使组中包含的指定接口成为不可信接口: