DHCP监控

DHCP为动态主机配置协议（Dynamic Host Configuration Protocol），它能够自动为子网分配适当的IP地址以及其它网络参数。DHCP监控通过分析DHCP客户端与DHCP服务器之间的DHCP报文建立DHCP客户端的MAC地址和被分配的IP地址的对应关系。在启动ARP检查功能后，将检查经过设备的ARP包是否与该表的内容匹配，如果不匹配则丢弃该ARP包。在用DHCP获取地址的网络中，可以通过启用ARP检查和DHCP监控功能来防止ARP欺骗。

由于DHCP服务的客户端是以广播的方式寻找服务器，并且只接收第一个到达的服务器提供的网络配置参数，因此，如果网络中存在非授权的DHCP服务器，就有可能引发DHCP服务器欺骗。安全网关可以通过在相应端口上设置丢弃DHCP响应报文来防止DHCP服务器欺骗。

另外，一些恶意攻击者通过伪造不同的MAC地址不断地向DHCP服务器发送DHCP请求，从而耗尽服务器的IP地址资源，最终导致合法用户不能获得IP地址。这种攻击也即网络上常见的DHCP Starvation Attack。安全网关可以通过在相应端口上设置丢弃请求报文、设置DHCP包速率限制或者打开合法性检查功能来防止该类攻击。

本节介绍DHCP监控配置。

DHCP监控配置

StoneOS的VSwitch接口支持DHCP监控功能。默认情况下，该功能是关闭的。

配置DHCP监控功能，请按照以下步骤进行操作：

1. 从页面左侧导航树选择并点击“配置安全ARP防护”，进入ARP防护页面。
2. 点击页面左上方的『DHCP监控』链接，弹出<DHCP监控配置>对话框。
3. 在<接口>标签页，选中需要开启DHCP监控功能的接口相应的复选框。
4. 点击『端口』标签，进入<端口>标签页。在该标签页对DHCP监控参数进行配置。
   • 速率限制（个/秒）：指定接口每秒钟接收DHCP包的个数。当每秒钟接收DHCP包的个数超过该指定值时，系统将丢弃超出的DHCP包。范围是0到10000。默认值是0，即无速率限制。
   • DHCP有效性检查：检查DHCP包的客户端MAC地址与以太网包的源MAC地址是否一致，如不一致，则丢弃。选中复选框开启检查功能。
   • 丢弃：选中<DHCP Request>复选框，系统将丢弃从客户端发送到服务器端的所有请求报文；选中<DHCP Response>，系统将丢弃从服务器端到客户端的所有响应报文。
5. 点击『确定』按钮保存所做配置并返回ARP防护页面。

DHCP监控列表

启用DHCP监控功能后，系统会对通过接口的所有DHCP包进行检查，并在此过程中建立并维护一个包含IP-MAC绑定信息的DHCP监控列表。另外，当StoneOS的VSwitch接口、VLAN接口以及其它三层物理接口配置为DHCP服务器时，不用开启DHCP监控功能，系统也会自动建立IP-MAC绑定信息并将它们添加到DHCP监控列表中。列表中的绑定条目包含合法用户的MAC 地址、所获IP地址、设备接口、VLAN编号、租约期限等信息。

访问DHCP监控列表，从页面左侧导航树选择并点击“配置安全ARP防护”，进入ARP防护页面，从ARP防护页面右侧辅助栏的<任务>区选择『DHCP监控列表』链接，系统进入DHCP监控列表页面。