1. 为什么你的网络总被"钓鱼"?DHCP Snooping来救场
最近有个朋友跟我吐槽,说他们公司网络经常出现奇怪的问题:有些电脑突然上不了网,有些则被分配到了莫名其妙的IP地址。我听完第一反应就是——八成是遭遇了非法DHCP服务器攻击。这种情况在企业内网中其实很常见,特别是当某些员工私自接了小路由器时,很容易就变成了一个非法DHCP服务器。
DHCP Snooping就是专门解决这个问题的"网络警察"。它的工作原理其实很好理解:就像小区门卫会核对访客身份一样,DHCP Snooping会检查所有DHCP报文的合法性。我在实际项目中部署过多次,效果立竿见影。最典型的一次是在某学校机房,刚部署完就拦截了3台学生私自搭建的DHCP服务器。
2. 实验环境搭建:用华为eNSP还原真实场景
2.1 准备你的虚拟实验室
我强烈建议先用华为eNSP模拟器练手,毕竟谁也不想直接在现网设备上做实验。安装完eNSP后,我们需要搭建这样一个拓扑:
- 1台交换机(我用的是S5700)
- 2台路由器(分别模拟合法和非法DHCP服务器)
- 2台PC(用来测试效果)
这里有个小技巧:在添加设备时,记得检查下设备型号是否支持DHCP Snooping功能。我有次折腾半天才发现用的老型号交换机不支持这个特性,白白浪费了时间。
2.2 基础网络配置
先给合法DHCP服务器(R1)配置:
[R1]dhcp enable [R1]interface GigabitEthernet0/0/0 [R1-GigabitEthernet0/0/0]ip address 10.1.1.254 24 [R1-GigabitEthernet0/0/0]dhcp select interface非法DHCP服务器(R2)的配置也很类似,只是用了不同的网段:
[R2]dhcp enable [R2]interface GigabitEthernet0/0/0 [R2-GigabitEthernet0/0/0]ip address 192.168.1.254 24 [R2-GigabitEthernet0/0/0]dhcp select interface3. DHCP Snooping核心配置详解
3.1 基础功能启用
在交换机上开启DHCP Snooping需要两步操作:
[LSW1]dhcp snooping enable # 全局启用 [LSW1]vlan 1 [LSW1-vlan1]dhcp snooping enable # 在VLAN内启用这里有个常见误区:很多人以为全局启用就够了,其实必须在具体VLAN里再启用一次。我有次排查了半天才发现问题出在这里。
3.2 信任端口设置
这是最关键的一步,需要把连接合法DHCP服务器的端口设为信任端口:
[LSW1-vlan1]dhcp snooping trusted interface GigabitEthernet0/0/1其他所有端口默认都是非信任状态。实际部署时,我建议用以下命令检查配置:
[LSW1]display dhcp snooping interface3.3 绑定表监控
配置完成后,可以通过这个命令查看DHCP绑定表:
[LSW1]display dhcp snooping user-bind all输出示例:
IP Address MAC Address Interface Lease 10.1.1.1 5489-98f4-648d GE0/0/3 2024.10.17-15:06如果看到有192.168开头的IP,那说明你的配置可能有问题。
4. 进阶防护:让安全更上一层楼
4.1 限制每个端口的最大用户数
这个功能特别适合办公环境,可以防止有人用交换机扩展过多设备:
[LSW1-GigabitEthernet0/0/3]dhcp snooping max-user-number 1我在学校项目里设置的是每个端口最多2个用户(考虑到了老师可能用的小交换机),具体数值要根据实际需求调整。
4.2 结合DAI防御ARP欺骗
DHCP Snooping还可以和动态ARP检测(DAI)配合使用:
[LSW1]arp anti-attack check user-bind enable [LSW1]arp anti-attack check user-bind check-item ip-address mac-address这样就能防御ARP欺骗攻击了,相当于给网络上了双保险。
5. 排错指南:我踩过的那些坑
5.1 客户端获取不到IP地址
遇到这种情况,首先检查:
- 是否在正确的VLAN启用了DHCP Snooping
- 合法DHCP服务器端口是否设置为trusted
- 是否有ACL阻止了DHCP报文
我遇到最奇葩的一次是VLAN划分错误,导致DHCP请求根本到不了服务器。
5.2 绑定表没有记录
如果display dhcp snooping user-bind all显示空表,可能是:
- 客户端没有成功发送DHCP请求
- 交换机没有收到DHCP ACK报文
- 端口安全策略阻止了通信
建议先用debugging dhcp snooping packet命令抓包分析。
6. 实际部署中的经验分享
在企业网络部署时,我通常会这样做:
- 先在测试环境验证配置
- 分批次启用,先从小范围开始
- 开启日志监控,记录所有DHCP事件
- 设置告警,当检测到非法DHCP服务器时立即通知
有个客户曾经因为一个销售私自接的路由器导致半个办公室上不了网,部署DHCP Snooping后这类问题再没出现过。
