實現控制只能獲取企業內部合法的DHCP服務分配的地址，而其余的DHCP服務器則不能通過。

說明：為什么需要該技術呢，因為DHCP的工作原理是最先響應的服務器，PC就獲取該服務器分配的IP地址，這樣的話有些惡意的人把網關指向自己的電腦，然后通過抓包工具等實現抓包分析等功能，這樣造成不安全，另外就是網段不一致了，導致訪問公司內網或外網出現問題，所以我們必須杜絕該問題的出現。

正常情況下，內網的用戶都是通過內部部署的服務集集群正確獲取到IP地址，但是如果有一個人無意或者惡意的放了一臺設備在接入層，而該設備正好附帶DHCP功能【比如無線路由器等】，那么導致下面的用戶都會獲取到該服務器提供的地址段，而不是內部規劃好的。

當有惡意DHCP服務器出現的時候【查看】

可以看到這次獲得了172.16.1.0網段，這個就是通過惡意的DHCP服務器提供的。那么導致的結果就是

訪問都失敗。

解決辦法

（1）全局 DHCP Snooping功能

[boss]dhcp enable

[boss]dhcp snooping enable

（2）面向用戶的接口開啟DHCP Snooping功能

[boss]port-group 1

[boss-port-group-1]dhcp snooping enable

說明：該接口組之前已經定義過了，可以直接在里面調用即可。

（3）上聯接口【連接DHCP服務器接口】開啟Trust功能

[boss]port-group 2

[boss-port-group-2]dhcp snooping trusted

說明：上聯接口之前定義在port-group2中，開啟即可，注意這里連接核心A與B接口都需要開啟。

（4）測試結果

可以看到Renew一下后，又正常獲取到了IP地址了。

說明：DHCP Snooping的工作原理就是當開啟DHCP Snooping功能后，接口處于Trust的狀態則接收對應的DHCP ACK與Offer包，而其余接口默認處于Untrust中，所以會丟棄這些包。

可以看到有動態的表項，后續的安全部署可以根據這表項來進行安全控制。

部署用戶只能通過DHCP獲取的情況下，能夠訪問內網與外網，而人為定義則不行。

說明：有時候客戶會私自定義IP地址，但是客戶又不是非常懂，那么導致可能與網關或者其他PC的地址沖突了，所以我們這里必須杜絕該種情況出現，必須通過DHCP獲取地址才能訪問內網與外網。

手動定義地址，進行訪問。

可以看到可以正常訪問。

解決辦法

開啟DAI功能+ip source guead

（1）部署DAI

[boss]port-group 1

[boss-port-group-1]arp anti-attack check user-bind enable

說明：默認是檢查IP 、MAC、VLAN信息，可以修改arp anti-attack check user-bind check-item ip-address mac-address vlan

可以看到當自己定義IP地址后，會不訪問。

（2）部署ip source guead

說明：為什么需要部署IP source guead呢，因為DAI有一個因為存在，DAI的功能是在PC第一次訪問的時候，需要放松ARP信息，而DAI就是檢測ARP信息的，如果本地沒有對應DHCP Snooping表項，就丟棄ARP報文。那么如果客戶知道了網關的MAC 地址，然后手工定義一個ARP【對于懂一點技術的人來說，也是非常簡單的。】

比如手動指定了一個靜態映射

可以看到就可以訪問了。

[boss]port-group 1

[boss-port-group-1]ip source check user-bind enable

說明：開啟ip source功能，檢查，它會根據DHCP Snooping表項來檢查數據包的IP、MAC、VLAN是否與綁定表有，如果沒有就丟棄。

可以看到，就直接丟棄了。

（3）靜態綁定表項

說明：為什么需要靜態綁定呢，因為有時候有些打印機之類的是固定IP地址，所以必須允許它們通過。

[boss]user-bind static ip-address 192.168.44.1 mac-address 4422-1111-3423 vlan 40

添加一個靜態表項，這樣就可以通過了。

可以看到沒問題了。

如果大家有任何疑問或者文中有錯誤跟疏忽的地方，歡迎大家留言指出，博主看到后會第一時間修改，謝謝大家的支持，更多技術文章盡在網絡之路Blog，版權歸網絡之路Blog所有，原創不易，侵權必究。

上一篇回顧

下一篇學習

23、華為 華三中小型企業網絡 端口隔離與MAC地址認證