了解和使用受信任的 DHCP 服务器
了解受信任和不受信任的端口以及 DHCP 服务器
DHCP 服务器向网络的 DHCP 客户端提供 IP 地址和其他配置信息。对 DHCP 服务器使用可信端口可防止恶意 DHCP 服务器发送租约。
不受信任的端口会丢弃来自 DHCP 服务器的流量,以防止未经授权的服务器向客户端提供任何配置信息。
默认情况下,所有中继端口都受 DHCP 信任,所有接入端口均不受信任。
您可以配置默认行为的覆盖,以将中继端口设置为不受信任,从而阻止来自该接口的所有入口 DHCP 服务器消息。这对于防止恶意 DHCP 服务器攻击非常有用,在这种攻击中,攻击者已将未经授权的服务器引入网络。此服务器提供给 DHCP 客户端的信息可能会中断其网络访问。未经授权的服务器也可能将自己指定为网络的默认网关设备。然后,攻击者可以嗅探网络流量并实施中间人攻击,也就是说,它将发往合法网络设备的流量错误地定向到其选择的设备。
您还可以将访问端口配置为受信任端口。如果将 DHCP 服务器连接到访问端口,则必须将该端口配置为受信任端口。在执行此操作之前,请确保服务器在物理上是安全的,也就是说,对服务器的访问受到监视和控制。
启用可信的 DHCP 服务器 (ELS)
此示例使用支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机的 Junos OS。
您可以将交换机上连接到 DHCP 服务器的任何接口配置为可信接口(端口)。在可信接口上配置 DHCP 服务器可防止恶意 DHCP 服务器发送租约。
默认情况下,所有接入接口都是不受信任的,所有中继接口都是受信任的。但是,您可以通过在 VLAN 中配置一组接入接口,指定属于该组的接口,然后将该组配置为可信接口来覆盖接入接口的默认设置。
必须先配置 VLAN,然后才能配置受信任的 DHCP 服务器。请参阅为支持 ELS 的 EX 系列交换机配置 VLAN(CLI 过程)。
要使用 CLI 将不受信任的访问接口配置为 DHCP 服务器的可信接口,请执行以下操作:
启用可信的 DHCP 服务器(非 ELS)
您可以使用受信任的 DHCP 服务器和端口防止恶意 DHCP 服务器在您的网络上发送恶意租约。默认情况下,对于 DHCP,所有中继端口都是受信任的,所有接入端口都是不受信任的。并且您只能在接口上设置 DHCP 服务器;也就是说,不支持使用 VLAN。
可信端口允许 DHCP 服务器向请求设备提供 IP 地址和其他信息。不受信任的端口会丢弃来自 DHCP 服务器的流量,以防止未经授权的服务器向客户端提供任何配置信息。
要配置端口以托管 DHCP 服务器,请从 Junos CLI 输入以下命令:
[edit ethernet-switching-options secure-access port] user@switch# set interface ge-0/0/8 dhcp-trusted
其中, 接口 ge-0/0/8 是对您的网络有效的任何受信任且物理安全的接口。
参见
启用可信的 DHCP 服务器(MX 系列路由器)
您可以将交换设备上连接到 DHCP 服务器的任何接口配置为可信接口(端口)。在可信接口上配置 DHCP 服务器可防止恶意 DHCP 服务器发送租约。
默认情况下,所有接入接口都是不受信任的,所有中继接口都是受信任的。但是,您可以通过在桥接域中配置一组接入接口,指定属于该组的接口,然后将该组配置为受信任来覆盖接入接口的默认设置。
必须先配置桥接域,然后才能配置受信任的 DHCP 服务器。
要使用 CLI 将不受信任的访问接口配置为 DHCP 服务器的可信接口,请执行以下操作:
验证受信任的 DHCP 服务器是否正常工作
目的
验证交换机上是否正在运行 DHCP 可信服务器。查看当 DHCP 服务器受信任然后不受信任时会发生什么情况。
行动
从连接到交换机的网络设备(此处为 DHCP 客户端)发送一些 DHCP 请求。
当 DHCP 服务器连接到交换机的接口受信任时,显示 DHCP 侦听信息。当从 MAC 地址发送请求并且服务器已提供 IP 地址和租约时,将产生以下输出:
user@switch> show dhcp snooping binding
DHCP Snooping Information:
MAC Address IP Address Lease Type VLAN Interface
----------------- ---------- ----- ---- ---- ---------
00:05:85:3A:82:77 192.0.2.17 600 dynamic employee—vlan ge-0/0/1.0
00:05:85:3A:82:79 192.0.2.18 653 dynamic employee—vlan ge-0/0/1.0
00:05:85:3A:82:80 192.0.2.19 720 dynamic employee—vlan ge-0/0/2.0
00:05:85:3A:82:81 192.0.2.20 932 dynamic employee—vlan ge-0/0/2.0
00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee—vlan ge-0/0/2.0
00:05:85:27:32:88 192.0.2.22 3200 dynamic employee—vlan ge-0/0/2.0
意义
当 DHCP 服务器连接到交换机的接口设置为受信任时,输出(请参阅前面的示例)会显示每个 MAC 地址的分配 IP 地址和租用时间,即租约到期前剩余的时间(以秒为单位)。
如果 DHCP 服务器配置为不受信任,则不会将任何条目添加到 DHCP 侦听数据库中,并且命令输出 show dhcp snooping binding 中也不会显示任何内容。
参见
将中继接口配置为不受 DHCP 安全信任(CLI 过程)
必须先配置 VLAN,然后才能配置一组接口。请参阅为支持 ELS 的 EX 系列交换机配置 VLAN(CLI 过程)。
不受信任的中继接口在 VLAN 上启用以下 DHCP 安全功能后,支持这些功能:
DHCP 和 DHCPv6 侦听
动态 ARP 检测
IPv6 邻居发现检测
要将中继接口配置为不受信任,必须在 VLAN 中配置一组接口,将中继接口添加到该组,然后将该组配置为不受信任。一个组必须至少有一个接口。
要将中继接口配置为不受信任的 DHCP 安全接口,请执行以下操作: