Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

了解和使用受信任的 DHCP 服务器

了解受信任和不受信任的端口以及 DHCP 服务器

DHCP 服务器向网络的 DHCP 客户端提供 IP 地址和其他配置信息。对 DHCP 服务器使用可信端口可防止恶意 DHCP 服务器发送租约。

不受信任的端口会丢弃来自 DHCP 服务器的流量,以防止未经授权的服务器向客户端提供任何配置信息。

默认情况下,所有中继端口都受 DHCP 信任,所有接入端口均不受信任。

您可以配置默认行为的覆盖,以将中继端口设置为不受信任,从而阻止来自该接口的所有入口 DHCP 服务器消息。这对于防止恶意 DHCP 服务器攻击非常有用,在这种攻击中,攻击者已将未经授权的服务器引入网络。此服务器提供给 DHCP 客户端的信息可能会中断其网络访问。未经授权的服务器也可能将自己指定为网络的默认网关设备。然后,攻击者可以嗅探网络流量并实施中间人攻击,也就是说,它将发往合法网络设备的流量错误地定向到其选择的设备。

您还可以将访问端口配置为受信任端口。如果将 DHCP 服务器连接到访问端口,则必须将该端口配置为受信任端口。在执行此操作之前,请确保服务器在物理上是安全的,也就是说,对服务器的访问受到监视和控制。

启用可信的 DHCP 服务器 (ELS)

注意:

此示例使用支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机的 Junos OS。

您可以将交换机上连接到 DHCP 服务器的任何接口配置为可信接口(端口)。在可信接口上配置 DHCP 服务器可防止恶意 DHCP 服务器发送租约。

默认情况下,所有接入接口都是不受信任的,所有中继接口都是受信任的。但是,您可以通过在 VLAN 中配置一组接入接口,指定属于该组的接口,然后将该组配置为可信接口来覆盖接入接口的默认设置。

必须先配置 VLAN,然后才能配置受信任的 DHCP 服务器。请参阅为支持 ELS 的 EX 系列交换机配置 VLAN(CLI 过程)。

要使用 CLI 将不受信任的访问接口配置为 DHCP 服务器的可信接口,请执行以下操作:

  1. 在 VLAN 内配置具有特定接入接口的组:
  2. 将该组 trusted 配置为使组中包含的指定接口成为可信接口:

启用可信的 DHCP 服务器(非 ELS)

您可以使用受信任的 DHCP 服务器和端口防止恶意 DHCP 服务器在您的网络上发送恶意租约。默认情况下,对于 DHCP,所有中继端口都是受信任的,所有接入端口都是不受信任的。并且您只能在接口上设置 DHCP 服务器;也就是说,不支持使用 VLAN。

可信端口允许 DHCP 服务器向请求设备提供 IP 地址和其他信息。不受信任的端口会丢弃来自 DHCP 服务器的流量,以防止未经授权的服务器向客户端提供任何配置信息。

要配置端口以托管 DHCP 服务器,请从 Junos CLI 输入以下命令:

其中, 接口 ge-0/0/8 是对您的网络有效的任何受信任且物理安全的接口。

启用可信的 DHCP 服务器(MX 系列路由器)

您可以将交换设备上连接到 DHCP 服务器的任何接口配置为可信接口(端口)。在可信接口上配置 DHCP 服务器可防止恶意 DHCP 服务器发送租约。

默认情况下,所有接入接口都是不受信任的,所有中继接口都是受信任的。但是,您可以通过在桥接域中配置一组接入接口,指定属于该组的接口,然后将该组配置为受信任来覆盖接入接口的默认设置。

必须先配置桥接域,然后才能配置受信任的 DHCP 服务器。

要使用 CLI 将不受信任的访问接口配置为 DHCP 服务器的可信接口,请执行以下操作:

  1. 使用特定接入接口配置桥接域内的组:

  2. 将该组 trusted 配置为使组中包含的指定接口成为可信接口:

验证受信任的 DHCP 服务器是否正常工作

目的

验证交换机上是否正在运行 DHCP 可信服务器。查看当 DHCP 服务器受信任然后不受信任时会发生什么情况。

行动

从连接到交换机的网络设备(此处为 DHCP 客户端)发送一些 DHCP 请求。

当 DHCP 服务器连接到交换机的接口受信任时,显示 DHCP 侦听信息。当从 MAC 地址发送请求并且服务器已提供 IP 地址和租约时,将产生以下输出:

意义

当 DHCP 服务器连接到交换机的接口设置为受信任时,输出(请参阅前面的示例)会显示每个 MAC 地址的分配 IP 地址和租用时间,即租约到期前剩余的时间(以秒为单位)。

如果 DHCP 服务器配置为不受信任,则不会将任何条目添加到 DHCP 侦听数据库中,并且命令输出 show dhcp snooping binding 中也不会显示任何内容。

将中继接口配置为不受 DHCP 安全信任(CLI 过程)

必须先配置 VLAN,然后才能配置一组接口。请参阅为支持 ELS 的 EX 系列交换机配置 VLAN(CLI 过程)。

不受信任的中继接口在 VLAN 上启用以下 DHCP 安全功能后,支持这些功能:

  • DHCP 和 DHCPv6 侦听

  • 动态 ARP 检测

  • IPv6 邻居发现检测

要将中继接口配置为不受信任,必须在 VLAN 中配置一组接口,将中继接口添加到该组,然后将该组配置为不受信任。一个组必须至少有一个接口。

要将中继接口配置为不受信任的 DHCP 安全接口,请执行以下操作:

  1. VLAN 中配置一个组,并将中继接口作为成员:
  2. 将组 untrusted 配置为,以使组中包含的指定接口成为不受信任的接口: