华为HCIE论述之DHCP

1. 园区网规划如图。网络中存在部分终端无法访问网关，并且存在大量 ARP 表项翻动。网络中还存在部分终端 IP 地址为 169.254.X.X。请分析可能原因，定位并排除故障。（或者问：该网络中存在一些网络攻击，导致终端设备获取不到地址信息，请分析故障原因 及如何解决？）（或者问此时有客户反省 PC1 和 PC2 无法获取到 IP 地址，你认为是什么样的原因导致了 这样的问题；）

原因： 网络中存在部分终端无法访问网关，并且存在大量的ARP表项翻动可能存在原因如下： 1、存在ARP泛洪攻击，使网络中的ARP表项不断刷新、翻动； 2、存在ARP中间人攻击，使网络中的ARP表项不断刷新、翻动。

定位： 1、存在ARP泛洪攻击：使用命令display cpu-defend statist packet-type来查看ARP报文速率和告警信息。 2、存在ARP中间人攻击：使用命令display cpu-defend statist packet-type来查看ARP报文速率和告警信息。

解决方法： 1、存在ARP泛洪攻击：开启ARP表项固化，同时开启DHCP Snooping功能来执行DAI机制来防护。 2、存在ARP中间人攻击：开启ARP表项固化，同时开启DHCP Snooping功能来只需DAI机制来防护

原因： 网络中存在部分终端IP地址为169.254.X.X可能存在原因如下： 1、存在DHCP饿死攻击，让DHCP服务器的地址池耗尽； 2、存在仿冒DHCP服务器攻击，让终端设备向仿冒的DHCP服务器请求IP地址，但该仿冒的DHCP服务器没有IP地址分配； 3、存在DHCP中间人攻击，使得终端设备发送的DHCP请求报文被篡改，导致客户端无法获取IP地址； 4、存在终端设备无法与DHCP服务器通信，导致终端无法获取IP地址； 5、存在DHCP服务器的地址池耗尽； 6、存在部分终端设备获取到的IP地址与网络中静态配置的IP地址冲突，导致终端自动将IP地址设置为169.254.X.X。

定位： 1、存在DHCP饿死攻击：在DHCP服务器上使用命令display ip pool name xxx来查看地址池是否被耗尽，如果耗尽，则查看DHCP服务器上是否存在可疑的MAC地址； 2、存在仿冒DHCP服务器攻击：通过抓包工具抓取网络中的DHCP offer报文，查看该报文的源MAC地址是否与真的DHCP服务器的MAC地址一致。 3、存在DHCP中间人攻击：通过抓包攻击抓取网络中终端发送给DHCP服务器的DHCP报文，查看该报文的目的MAC地址是否是DHCP服务器的MAC地址。 4、存在终端设备无法访问DHCP服务器：在终端上配置一个与DHCP服务器同网段的IP地址，然后使用ping命令测试是否能与DHCP服务器通信，如果不能，则在沿途交换机上使用命令display port vlan和display vlan来查看沿途交换机创建的vlan及端口使能的vlan和端口模式是否正确。 5、存在DHCP服务器的地址池耗尽：在DHCP服务器上使用命令display ip pool name xxx来查看地址池的地址是否耗尽。 6、存在终端获取的IP地址与网络中静态配置的IP地址产生冲突：在DHCP服务器上使用ping命令来测试DHCP服务器分配网段的广播地址，然后再使用命令display arp 来查看网络中存在的活跃IP地址是否存在冲突。

解决方法： 1、存在DHCP饿死攻击：使能DHCP Snooping功能，限制交换机端口允许接入的最大用户数量，对DHCP请求报文里的CHADDR字段与报文的源MAC地址进行比较，如果不一致，则丢弃该报文。 2、存在仿冒DHCP服务器攻击：开启DHCP Snooping功能，对交换机设置信任端口和非信任端口，只允许信任端口接收DHCP服务器发送的报文同时开启DHCP server的探测功能防护。 3、存在DHCP中间人攻击：开启DHCP Snooping功能，通过DHCP Snooping来形成DHCP绑定表，只有匹配绑定表上的信息的报文才能被接收和发送。 4、存在终端设备无法与DHCP服务器通信：修改沿途交换机上的错误配置，让终端设备能与DHCP服务器通信。 5、存在DHCP服务器的地址池耗尽：对DHCP服务器的地址池进行扩容。 6、存在终端获取的IP地址与网络中静态配置的IP地址冲突：对冲突的IP地址，在DHCP服务器上进行排除出地址池。

2. 此园区网需要防止非法有线接入，请提供可行性方案。（或者问：为了保障网络的安全、可靠、使用何种技术来增加网络的安全性，请给出合理的 方案并解释说明？）（或者问：当故障被你解决之后，请分析上述环境中可能会存在哪些攻击，你该如何提高接 入用户的安全性？）**

为了防止非法接入，开启DHCP Snooping功能，并开启DHCP Snooping MAC地址严格学习功能，绑定静态MAC，关闭动态MAC地址的学习，且开启端口安全，限制接口允许连接的最大用户数及MAC地址学习数量。 对于远程接入的用户，开启SSL VPN和L2TP来对用户的身份进行验证。同时开启NAC机制，对于连接打印机的接口开启MAC旁挂功能，然后在办公网络中开启802.1X功能。 为保护交换机安全，在交换机上的DP端口上开BPDU保护，在交换机的非DP端口上开启STP保护。 为了防止IP欺骗，在交换机上开启DHCP Snooping功能并结合IPSG来对数据报文进行检测。