1、交换机上如何防DHCP地址耗竭攻击

用户发送的DHCP 请求报文中，DHCP Server根据请求报文里面的client mac address字段来给用户分配IP，非法用户会通过伪造client字段的mac 地址来进行请求分配IP，这样导致DHCP Server 地址池很快被消耗，正常的用户会获取不到IP，对于这种攻击，交换机上可以在全局下使用如下命令来防止DHCP耗竭攻击

Ruijie(config)#ip dhcp snooping verify mac-address

这样DHCP请求报文经过交换机的时候，交换机回去匹配二层帧头的mac地址与client字段里面的mac地址是否一致，如果不一致则丢弃报文，这样有效的防止了DHCP Server地址池由于被攻击而消耗地址。

 

2、接入交换机在DHCP SNOOPING +DAI 环境下，如何设置让静态IP上网

DAI环境下，让IP 地址为192.168.1.1、mac地址为0023.5abd.1975的用户上网，可以使用如下命令来实现：

10.3及以后的版本可以用如下命令来实现

ip source binding 0023.5abd.1975 vlan 1 192.168.1.1 int g0/1

10.3之前的版本可以用如下命令来实现

ip dhcp snooping binding 0023.5abd.1975 vlan 1 ip 192.168.1.1 interface FastEthernet 0/1

 

3、S21接口下的ip dhcp server-trick guard作用

Ruijie(config)#int f0/1

Ruijie(config-if)#ip dhcp ?

  server-trick           Dhcp server trick detection                         

  snooping               DHCP snooping interface commands                         

Ruijie(config-if)#ip dhcp server-trick guard

1）ip dhcp server-trick guard的配置作用就是防止DHCP SERVER的欺骗，类似于ip dhcp snooping功能

2）配置了该命令的接口 ，就丢弃接口上来的所有DHCP OFFER ,DHCP ACK报文。

3）ip dhcp server-trick guard命令是早期的21系列交换机的功能，那时候还没用开发出ip dhcp snooping功能，后面已经被ip dhcp snooping替代了，现在该方案已经不常用了。

 

4、DHCP Snooping + address-bind+arp-check如何允许自设静态ip

可以配置一条静态dhcp snooping绑定表。

例如：

在全局下：ip dhcp snooping binding 0023.5abd.1975 vlan 1 ip 192.168.100.123 interface FastEthernet 0/1

再通过 ip dhcp snooping address-bind，写入硬件表项，arp-check再匹配用户的ip+mac，匹配成功，可以通过。

查看绑定表：

Ruijie#show ip dhcp snooping binding

Total number of bindings: 1

MacAddress IpAddress Lease(sec) Type VLAN Interface

------------------ --------------- ------------ ------------- ----- --------------------

0023.5abd.1975 192.168.100.123 - static 1 FastEthernet 0/1

这样用户192.168.100.123的用户就能上网了。

 

5、DHCP snooping可以过滤哪些非法报文

DHCP-Snooping对经过设备的DHCP报文进行合法性检查，过滤非法报文。以下几种类型的报文被认为是非法的DHCP报文：

1）非信任口收到的DHCP服务器响应报文，包括DHCP ACK、DHCP NAK、DHCP OFFER等；

2）经过DHCP中继转发的DHCP客户端请求报文；

3）在开启DHCP-Snooping源MAC校验功能时， 如果Client发出的DHCP报文中所携带的Client MAC字段值与报文链路层头部源MAC地址不一致，则视为非法报文；

4）如果收到的DHCP RELEASE、DHCP DECLINE报文信息与DHCP-Snooping数据库中的记录不一致，则视为非法报文。

 

 

6、如何防止配置了DHCP SNOOPING的交换机断电重启后DHCP用户信息丢失

为了防止设备断电重启，设备上的DHCP用户信息丢失，而导致设备重启后，重启前已成功获取IP地址的用户不能通信，DHCP Snooping提供可配置的定时把DHCP Snooping数据库信息写入flash的命令来保存DHCP用户信息。默认情况下，定时为0。

如设置DHCP Snooping延迟写flash的时间为3600s：

Ruijie# configure terminal

Ruijie(config)# ip dhcp snooping database write-delay 3600