了解和使用可信 DHCP 服务器
了解可信和不可信的端口和 DHCP 服务器
DHCP 服务器向网络的 DHCP 客户端提供 IP 地址和其他配置信息。为 DHCP 服务器使用可信端口可抵御发送租赁的恶意 DHCP 服务器。
不可信端口会丢弃来自 DHCP 服务器的流量,以防止未经授权的服务器向客户端提供任何配置信息。
默认情况下,所有中继端口都信任 DHCP,所有接入端口不受信任。
您可以配置默认行为的替代项,将中继端口设置为不可信端口,从而阻止来自该接口的所有入口 DHCP 服务器消息。这对于防止恶意 DHCP 服务器攻击非常有用,攻击者已将未经授权的服务器引入网络中。此服务器提供给 DHCP 客户端的信息可能会中断其网络访问。未经授权的服务器也可能将自己分配为网络的默认网关设备。随后,攻击者可以嗅到网络流量并实施中间人攻击,也就是说,攻击者会将用于合法网络设备的信息流误定向到其选择的设备。
您也可将接入端口配置为可信端口。如果将 DHCP 服务器连接到接入端口,则必须将端口配置为可信端口。在执行此操作之前,请确保服务器的物理安全,即监控和控制对服务器的访问。
启用可信 DHCP 服务器 (ELS)
此示例使用支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机的 Junos OS。
您可以将连接到 DHCP 服务器的交换机上的任何接口配置为可信接口(端口)。在可信接口上配置 DHCP 服务器可防止恶意 DHCP 服务器发送租赁。
默认情况下,所有接入接口均不受信任,并且所有中继接口均可信。但是,您可以在 VLAN 中配置一组接入接口,指定某个接口属于该组,然后将组配置为可信的,从而覆盖访问接口的默认设置。
配置可信 DHCP 服务器之前,必须配置 VLAN。请参阅 为支持 ELS 的 EX 系列交换机配置 VLAN(CLI 过程)。
要使用 CLI 将不受信任的访问接口配置为 DHCP 服务器的可信接口:
启用可信 DHCP 服务器(非 ELS)
通过使用可信的 DHCP 服务器和端口,您可以防止恶意 DHCP 服务器在您的网络上发送恶意租赁。默认情况下,对于 DHCP,所有中继端口均可信,并且所有接入端口不受信任。您只能在接口上设置 DHCP 服务器;也就是说,不支持使用 VLAN。
可信端口允许 DHCP 服务器向请求设备提供 IP 地址和其他信息。不可信端口会丢弃来自 DHCP 服务器的流量,以防止未经授权的服务器向客户端提供任何配置信息。
要配置端口以托管 DHCP 服务器,请从 Junos CLI 输入以下命令:
[edit ethernet-switching-options secure-access port] user@switch# set interface ge-0/0/8 dhcp-trusted
其中, ge-0/0/8 接口是任何对您的网络有效的可信且物理安全的接口。
另请参阅
启用可信 DHCP 服务器(MX 系列路由器)
您可以将连接到 DHCP 服务器的交换设备上的任何接口配置为可信接口(端口)。在可信接口上配置 DHCP 服务器可防止恶意 DHCP 服务器发送租赁。
默认情况下,所有接入接口均不受信任,并且所有中继接口均可信。但是,您可以在桥接域中配置一组接入接口,指定某个接口属于该组,然后将组配置为可信组,从而覆盖访问接口的默认设置。
配置可信 DHCP 服务器之前,必须配置桥接域。
要使用 CLI 将不受信任的访问接口配置为 DHCP 服务器的可信接口:
验证可信 DHCP 服务器是否工作正常
目的
验证 DHCP 可信服务器是否在交换机上工作。了解当 DHCP 服务器可信,然后不受信任时会发生什么。
行动
从连接到交换机的网络设备(此处为 DHCP 客户端)发送一些 DHCP 请求。
当 DHCP 服务器连接到交换机的接口可信时,显示 DHCP 侦听信息。当从 MAC 地址发送请求且服务器已提供 IP 地址和租赁时,以下输出结果:
user@switch> show dhcp snooping binding
DHCP Snooping Information:
MAC Address IP Address Lease Type VLAN Interface
----------------- ---------- ----- ---- ---- ---------
00:05:85:3A:82:77 192.0.2.17 600 dynamic employee—vlan ge-0/0/1.0
00:05:85:3A:82:79 192.0.2.18 653 dynamic employee—vlan ge-0/0/1.0
00:05:85:3A:82:80 192.0.2.19 720 dynamic employee—vlan ge-0/0/2.0
00:05:85:3A:82:81 192.0.2.20 932 dynamic employee—vlan ge-0/0/2.0
00:05:85:3A:82:83 192.0.2.21 1230 dynamic employee—vlan ge-0/0/2.0
00:05:85:27:32:88 192.0.2.22 3200 dynamic employee—vlan ge-0/0/2.0
意义
当 DHCP 服务器连接到交换机的接口设置为可信接口时,输出(请参阅之前的示例)显示每个 MAC 地址、分配的 IP 地址和租赁时间,即租赁到期前剩余的时间(即几秒钟)。
如果 DHCP 服务器配置为不可信,则不会将条目添加到 DHCP 侦听数据库中,并且命令输出 show dhcp snooping binding 中将不显示任何条目。
另请参阅
将中继接口配置为不可信的 DHCP 安全性(CLI 过程)
配置一组接口之前,必须配置 VLAN。请参阅 为支持 ELS 的 EX 系列交换机配置 VLAN(CLI 过程)。
不可信的中继接口在 VLAN 上启用时支持以下 DHCP 安全功能:
DHCP 和 DHCPv6 侦听
动态 ARP 检测
IPv6 邻居发现检测
要将中继接口配置为不可信接口,必须在 VLAN 中配置一组接口,将中继接口添加至组,然后将组配置为可信组。组必须至少有一个接口。
要将中继接口配置为不可信的 DHCP 安全性: