一、技术原理与联动逻辑

技术 核心作用 依赖关系 安全目标
DHCP Snooping 监听DHCP交互,构建DHCP Snooping Binding Table(含IP/MAC/VLAN/接口/租期),区分信任/非信任端口 基石 防私接DHCP服务器、防DHCP耗竭攻击
DAI (Dynamic ARP Inspection) 基于绑定表校验ARP报文源IP+源MAC合法性 依赖DHCP Snooping绑定表 防ARP欺骗、中间人攻击
IPSG (IP Source Guard) 基于绑定表校验所有IP报文的源IP+源MAC 依赖DHCP Snooping绑定表 防IP/MAC欺骗、私设静态IP

 联动逻辑链
DHCP请求 → Snooping建表 → DAI校验ARP → IPSG校验数据流
三者共享同一绑定表,形成“分配-解析-转发”全链路防护闭环。

二、ENSP实验拓扑(验证)

[PC1]---(G0/0/1) [LSW2 接入交换机] (G0/0/24)---[LSW1 核心交换机]---[DHCP Server]
[PC2]---(G0/0/2)        (S3700/S5700)                (S5700)          (可集成于LSW1)

  • VLAN 10:用户业务网段 192.168.10.0/24
  • LSW1:Vlanif10 IP=192.168.10.1,启用DHCP服务
  • LSW2:用户接入层,部署三大安全特性
  • 关键设计:LSW2上行口为信任端口,用户端口为非信任端口

三、详细配置与命令解析

 LSW1(核心/DHCP服务器)

sys
vlan batch 10
interface Vlanif10
 ip address 192.168.10.1 255.255.255.0
 dhcp select interface          # 接口地址池模式(自动分配本网段IP)
 dhcp server excluded-ip-address 192.168.10.1 192.168.10.10  # 保留网关及关键IP
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10

 解析dhcp select interface 简化配置,地址池范围=接口网段;保留地址避免冲突。

 LSW2(接入层安全策略实施点)

# ============ 基础准备 ============
sys
vlan batch 10
dhcp enable                      # 全局启用DHCP功能(Snooping前提)
dhcp snooping enable             # 全局启用DHCP Snooping

# ============ VLAN级Snooping ============
vlan 10
 dhcp snooping enable            # 在VLAN 10启用Snooping
 dhcp snooping trusted interface GigabitEthernet 0/0/24  # 标记上行口为信任(关键!)
 quit

# ============ 用户端口安全策略(以G0/0/1为例) ============
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
 # --- DAI:ARP报文校验 ---
 arp anti-attack check user-bind enable      # 启用基于绑定表的ARP检查
 arp anti-attack rate-limit enable 
 arp anti-attack rate-limit 30            # 限速防ARP泛洪(可选增强)
 # --- IPSG:IP流量源校验 ---
 ip source check user-bind enable            # 启用IP源防护
 ip source check user-bind alarm enable      # 异常时上报告警(运维)

 dhcp snooping enable
 dhcp snooping check dhcp-chaddr enable     #检查DHCP请求报文中Client MAC地址的合法性
 dhcp snooping check dhcp-rate enable    # 启用速率检查
 dhcp snooping check dhcp-rate 10        # 限制每秒10个报文
 dhcp option82 insert enable
#
 quit

# ============ 上行信任端口配置 ============
interface GigabitEthernet0/0/24
 port link-type trunk
 port trunk allow-pass vlan 10
 # 无需额外配置anti-attack/ipsg(信任端口默认 bypass 检查)
 quit

 关键命令深度解析

  • dhcp snooping trusted interface必须配置!否则上行DHCP Offer被丢弃,用户无法获取IP。
  • arp anti-attack check user-bind enable:仅检查非信任端口入方向ARP;信任端口自动放行。
  • ip source check user-bind enable:校验所有IP报文(含ICMP/TCP/UDP),丢弃源信息不匹配流量。
  • 静态绑定补充(针对服务器):user-bind static ip-address 192.168.10.50 mac-address 5489-9876-5432 interface GigabitEthernet0/0/3 vlan 10

  • 增强配置

    
 # 防MAC泛洪攻击
 mac-address learning disable    # 关闭MAC学习
 #全局
 mac-address static ?
  H-H-H  MAC address          # 静态绑定MAC
 
 # 防ARP欺骗
 arp anti-attack check user-bind enable
 
 # 防IP欺骗
 ip source check user-bind enable

 # === 以下配置绝对禁止在上行口使用 ===
 #  mac-address learning disable  # 会阻断所有上行流量
 #  mac-address static ...        # 无法静态绑定所有上行设备
 #  arp anti-attack check user-bind enable  # 会阻断合法ARP
 #  ip source check user-bind enable        # 会阻断合法IP流量

四、验证与排错命令体系

 核心验证命令

# 1. 检查绑定表(联动基石)
display dhcp snooping user-bind all          # 查看动态绑定条目(PC获取IP后应有记录)

# 2. DAI状态与统计
display arp anti-attack configuration all
display arp anti-attack statistics check user-bind 

# 3. IPSG状态
display ip source check user-bind interface GigabitEthernet 0/0/1
display ip source check user-bind all

# 4. 综合诊断
display dhcp snooping configuration vlan 10
display cpu-defend statistics packet-type dhcp  # 检查DHCP报文是否被安全策略拦截

 典型故障排查流程

现象 根本原因 解决方案
PC无法获取IP LSW2上行口未配trusted dhcp snooping trusted interface G0/0/24
绑定表为空 Snooping未在VLAN启用 / PC未发DHCP请求 vlan 10 → dhcp snooping enable;抓包确认DHCP交互
DAI误丢合法ARP 绑定表未更新(PC重启后) 检查租期;配置dhcp snooping binding record持久化(需支持)
IPSG阻断合法流量 用户私设静态IP(不在绑定表) 添加静态绑定;或教育用户使用DHCP
信任端口被检查 误在信任口启用anti-attack/ipsg 仅在用户端口启用安全特性

五、注意事项

 配置逻辑正确性验证

  1. 依赖链完整:Snooping → Binding Table → DAI/IPSG,符合华为官方架构设计。
  2. 信任模型严谨:仅上行口标记trusted,用户端口默认非信任,符合最小权限原则。
  3. 防御闭环:覆盖DHCP分配、ARP解析、IP转发三阶段,无安全盲区。

 实践关键注意事项

  1. 绑定表时效性
    • DHCP租期到期后绑定表老化,需确保PC续租正常;
    • 可配置dhcp snooping binding record(需设备支持)实现重启后表项恢复。
  2. 信任端口零配置原则
    切勿在上行口启用arp anti-attackip source check,否则阻断核心流量!
  3. 静态IP设备处理
    服务器/打印机等需配置user-bind static,否则IPSG会阻断其流量。
  4. 性能影响
    高流量场景下开启DAI/IPSG会增加CPU负担,建议在接入层部署,核心层避免启用。
  5. 日志与监控
    配置info-center enable + terminal monitor,实时观察安全事件。

六、构建企业级DHCP安全体系

通过 DHCP Snooping(源头可信)→ DAI(中间可信)→ IPSG(终端可信) 的纵深防御架构:

  •  有效阻断 rogue DHCP、ARP欺骗、IP/MAC伪造等内网高频攻击
  •  满足等保2.0“网络边界防护”“访问控制”要求
  •  配置简洁、联动紧密、运维可观测
# 华为 # 网络安全 # 网络协议
Logo
2048 AI社区

有“AI”的1024 = 2048,欢迎大家加入2048 AI社区

更多推荐

B端拓客号码核验:行业困局审视与技术革新的路径探索氪迹科技法人股东号码筛选系统

B端客户拓展中,核心决策人号码核验存在三大痛点:精准度低导致无效线索占比高、定价不规范推高批量使用成本、静态数据更新滞后造成隐性损耗。新型AI实时核验模式通过算法赋能实现98%精准度,实时运算解决数据滞后问题,并将成本降至行业均价的1/3,为电销、金融、B2B营销等场景提供高效解决方案。该模式以技术替代传统人工清洗,实现"精准、高效、低成本"的协同优化,推动B端拓客行业向&qu

avatar 2048 AI社区
cover

AMD锐龙AI Max系列带来全形态全生态全场景优势,开启智能体主机时代

avatar 2048 AI社区
cover

AI人工智能——详解人工智能算力高质量发展评估体系报告【附全文阅读】

avatar 2048 AI社区