锐捷ruijie交换机如何配置防止DHCP 地址耗尽攻击

一、组网需求   

    防范接入用户电脑中毒，不断发出dhcp请求，把dhcp地址池里的地址耗尽

二、组网拓扑

三、配置要点

• 全局配置dhcp snooping

• 连接到dhcp服务器的端口配置信任口

• 全局配置dhcp snooping ver mac-address

• 此功能必须配合 dhcp snooping功能使用，即开此功能的前提是必须开启 dhcp snooping功能

四、配置步骤

注意：配置之前建议使用 Ruijie#show interface status查看接口名称，常用接口名称有FastEthernet（百兆）、GigabitEthernet（千兆）和TenGigabitEthernet(万兆),以下配置以百兆接口为例

  1）全局配置dhcp snooping

Ruijie>enable 

Ruijie#configure terminal

       Ruijie(config)#ip dhcp snooping  ------> 开启DHCP snooping功能

  2）连接DHCP服务器的接口配置为可信任口

       Ruijie(config)#int FastEthernet0/24

       Ruijie(config-FastEthernet 0/24)#ip dhcp snooping trust 

  3）全局配置dhcp snooping ver mac-address

       Ruijie(config)#ip dhcp snooping verify mac-address   ------> 开启防止地址耗尽攻击防护

   4 )保存配置

       Ruijie(config)#end

Ruijie#write ------> 确认配置正确，保存配置

五、验证命令

      攻击者发送的DHCP报文的源MAC和Client字段中的MAC地址不匹配的情况下，DHCP请求报文会被丢弃。 

查看是否有许多IP地址分配给了同一个mac地址，如果说，则说明有此类攻击故障。

   1）Ruijie#show ip dhcp binding 

        IP address        Client-Identifier/          Lease expiration                 Type

                               Hardware address

        192.168.2.1       01bc.aec5.4bca.8d      000 days 23 hours 59 mins   Automatic

开启verify mac-address功能后会形成dhcp snooping表，可发现IP地址与mac地址都是一一对应，无多个IP对应同一个mac的现象。

   2）Ruijie(config)#show ip dhcp snooping binding         Total number of bindings: 1

       MacAddress         IpAddress       Lease(sec)   Type          VLAN  Interface

       ------------------ --------------- ------------ ------------- ----- --------------------

       bcae.c54b.ca8d     192.168.2.1     86341        dhcp-snooping 2     GigabitEthernet 0/24