局域网成员无法正常上网的顽疾---DHCP服务器"泛滥"( 二 ) _DHCP服务器

为了防止私自接入或者恶意接入DHCP服务器造成网络中的终端设备获得错误的IP地址和网关地址而导致的网络无法正常访问，也为了防止网络攻击者恶意部署DHCP服务器将向内网用户下发攻击者指定的网关地址，导致内网用户访问外网的数据引导至非法网关导致用户数据的泄露。

1 DHCP Snooping原理DHCP Snooping是DHCP安全特性，通常部署在接入端的交换机上，开启DHCP Snooping功能的交换机会将所有的接口针对DHCP报文设定为不信任状态---即不转发或者上传任何DHCP的请求和回应报文，对于连接合法DHCP服务器的接口设置为信任接口，可以正常发送DHCP报文。
使用DHCP Snooping功能后我们就可以有效的防止因为用户私自接入具有DHCP功能设备下发错误的IP及网关地址导致网络内的用户无法正常上网的问题，同时也可以防止针对DHCP发起的各类攻击，如DHCP饿死攻击---攻击者发送大量的DHCP请求报文，将DHCP服务器的IP地址池里的地址占用殆尽，造成合法用户无地址可用；DHCP的续租报文攻击—攻击者冒充合法用户不断续租DHCP下发的IP地址，即使使用此IP地址的合法用户依据下线， DHCP服务器也无法正常回收地址。
接下来我们通过实验来验证DHCP Snooping开启前与开启后的区别

2 DHCP Snooping部署1---没有开启DHCP Snooping时交换机对于DHCP数据包的处理
，

文章插图

【局域网成员无法正常上网的顽疾---DHCP服务器"泛滥"】

文章插图

我们在没有开启图中接入交换机SW-2的DHCP Snooping的情况下，开机电脑PC-3 ，让他通过DHCP自动获得IP地址，这时我们会发现PC-3获取了非法DHCP服务器提供的 172.168.1.0/24网段的IP地址，因为这个非法服务器（172.168.1.0）距离电脑比合法DHCP服务器（192.168.1.0）要"更近"（物理距离上），所以即使PC-3的DHCP请求包这两台DHCP服务器都收到并且都做了回应， PC-3依然只接收了来自非法DHCP服务器的提供的IP地址。

2---接下来我们在SW-2上开启DHCP Snooping功能继续在SW-2的G0/0/5接口配置IP地址。

文章插图

[SW-2]dhcp enable ---------交换机要运行DHCP Snooping功能，先必须开启这台交换机的DHCP功能
[SW-2]
[SW-2]dhcp snooping enable -----运行DHCP Snooping功能
[SW-2]
[SW-2]vlan 1---------------------------------------进入连接vlan 1
[SW-2-vlan1]
[SW-2-vlan1]dhcp snooping enable--------------------在vlan 进程下开启DHCP Snooping功能，这样这个vlan 1的所有接口的DHCP Snooping特性就开启了，默认处于不信任状态，不转发DHCP的请求与回应报文
[SW-2-vlan1]qui
[SW-2-vlan1]quit
[SW-2]

文章插图

开启DHCP Snooping后交换机对DHCP报文进行丢弃，不做转发，所以PC-7的DHCP请求包其实没有送到整个环境中的任何一台DHCP服务器，就算送到了，受DHCP Snooping的作用，交换机也不会对不信任接口的DHCP应答报文进行转发。

文章插图

我们继续部署，配置SW-2的 G0/0/1接口为信任接口，这个接口可以转发DHCP服务器的报文；这里我们只需要在连接DHCP服务器的接口或者DHCP服务器方向的接口配置信任即可（当DHCP服务器没有在在开启DHCP Snooping功能的交换机上直连时）

文章插图

对连接DHCP服务器（方向）的接口配置为DHCP Snooping信任接口后我们在PC-7上扑捉到了来自次SW-2的G0/0/1接口的DHCP 服务器的回应包---属于192.168.1.0网段的IP地址

这样我们通过DHCP Snoopin功能就解决了因为私接DHCP 服务器导致网络内用户无法正常上网的需求