华为 Huawei交换机IP安全讲解（DHCP Snooping、IPSG、DAI）配置命令

DHCP Snooping 

DHCP Snooping时DHCP的一种安全特性，用于保证DHCP客户端从合法的DHCP服务器获取IP地址，并记录DHCP客户端IP地址与MAC地址等参数的对应关系，防止网络上针对DHCP攻击

通过配置信任端口和非信任端口来实现安全防护

信任接口

正常接收DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文

设备只会将DHCP客户端的DHCP请求报文通过信任接口发送给合法的DHCP服务器。

非信任接口

在接收到DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文后，丢弃该报文

DHCP Snooping绑定表

设备根据收到的DHCP ACK报文，建立DHCP Snooping绑定表

此表包含客户端的IP地址、客户端的MAC地址、客户端的Vlan、客户端所在接口等信息

DHCP Snooping绑定表可以根据DHCP租期自行老化，也可以根据DHCP Release报文删除对应表项

注意事项

在DHCP中继使能DHCP Snooping场景下，DHCP Relay设备不需要设置信任端口

因为DHCP Relay设备是以单播的形式向DHCP服务器请求IP地址的，所以Relay设备收到的ACK报文都是合法的

与DHCP Snooping联动技术

IP源防攻击技术（IPSG）

IPSG是一种基于二层接口的源IP地址过滤技术，通过绑定表能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机来获取响应的权限

实现方式（IPSG一般应用于于用户直连的接入设备上）

1、配置静态绑定表，手动配置IP地址、MAC地址、Vlan等信息绑定

2、通过DHCP Snooping生成的动态绑定表来防止IP源攻击

IPSG工作原理（信任端口为dhcp snooping配置的信任端口）

IPSG会检查报文的源IP地址、源MAC地址、Vlan、接口是否和绑定表一致（收到的报文是否进行IPSG检查主要有以下三种情况）

  接口使能IPSG，并且为非信任接口，则从此接口收到的报文进行IPSG检查

  接口未使能IPSG，并且为非信任接口，则从接口收到的报文不进行IPSG检查

  接口未信任接口，无论是否使能IPSG，都不进行IPSG检查

注意事项

IPSG只检查主机发送的IP报文，对于arp、pppoe等非ip报文不进行检查

配置静态IPSG功能（可以不配置dhcp snooping，不配置信任接口）

user-bind static 【ip-address】 【mac-address】 【vlan】   配置静态绑定表

ip source check user-bind enable                                           开启IPSG检查

此时没有dhcp snooping生成的动态绑定表，因此通过静态绑定表来进行ipsg检查

配置动态IPSG功能（利用绑定表防御源IP欺骗攻击，需要配置信任接口）

先配置DHCP Snooping，然后再配置IPSG

ip source check user-bind enable        开启IPSG检查

ip source check user-bind check-item ip-address mac-address        配置IPSG只检查报文的IP地址和MAC地址

动态ARP检测技术（DAI）

DAI通过绑定表来防止arp欺骗，主要用于防御中间人攻击的场景，避免设备上合法用户的arp表项被攻击者发送的伪造arp报文错误更新

绑定表类型（一般在主机侧开启DAI）

1、配置静态绑定表，手动配置IP地址、MAC地址、Vlan等信息绑定（一般对于静态配置IP地址的用户单独配置静态绑定表，作为动态绑定表的补充）

2、通过DHCP Snooping生成的动态绑定表来防止arp攻击

DAI工作原理

如果设备为非信任接口，才进行DAI检查

设备收到arp报文时，将arp报文对应的源IP地址、源MAC地址、接口、Vlan等信息和绑定表的信息进行对比（如果信息匹配，则允许arp报文通过；如果信息不匹配，则丢弃该arp报文）

配置动态ARP检测技术（必须配置dhcp snooping）

配置DHCP Snooping

user-bind static 【ip-address】 【mac-address】 【vlan】  配置静态绑定表

接口下：arp anti-attack check user-bind enable        使能DAI

注意事项

DAI只可以适用于dhcp snooping场景

DAI的配置静态绑定表是作为动态绑定表的补充，配置静态绑定表也必须开启dhcp snooping

IPSG配置静态绑定表时可以不用配置dhcp snooping

配置DHCP Snooping

正常配置DHCP服务器1，通过全局地址池的方式分配地址

PC1属于Vlan1（即LSW1上不需要做Vlan相关配置）

必选配置

开启DHCP（开启DHCP后才可以配置DHCP Snooping）

dhcp enable

开启IPv4的DHCP Snooping

dhcp snooping enable ipv4  

接口开启DHCP Snooping并配置信任端口

interface Ethernet0/0/1   与服务器相连端口

 dhcp snooping enable   开启DHCP Snooping

 dhcp snooping trusted   配置端口为信任端口

interface Ethernet0/0/2    与客户端相连端口

 dhcp snooping enable

可选配置

配置当用户下线后删除本地绑定表

dhcp snooping user-offline remove mac-address 

配置ARP与DHCP Snooping联动

arp dhcp-snooping-detect enable 

在Vlan1内配置DHCP Request检查（防止攻击者仿冒用户的DHCP Request报文）

dhcp snooping check dhcp-request enable vlan 1 

查看DHCP Snooping绑定表

————————————————