华为智简园区安全技术白皮书

华为智简园区安全技术白皮书
目录
摘要 (i)
1产生背景 (4)
2威胁介绍 (5)
2.1ARP 安全 (5)
2.1.1ARP 功能介绍 (5)
2.1.2ARP 场景举例 (7)
2.1.3原理描述 (8)
2.2IPSG 安全 (17)
2.2.1IPSG 功能介绍 (17)
2.2.2IPSG 场景举例 (17)
2.2.3原理描述 (18)
2.3DHCP Snooping (19)
2.3.1DHCP Snooping 功能介绍 (19)
2.3.2DHCP Snooping 场景举例 (20)
2.3.3原理描述 (20)
2.3.3.1DHCP Snooping 基本功能 (20)
2.3.3.2DHCP Snooping 的攻击防范功能 (22)
2.3.3.3DHCP Snooping 支持的Option82 功能 (23)
3安全协防 (26)
3.1CIS 系统基本原理 (26)
3.1.1CIS 系统工作原理 (26)
3.1.2大数据采集原理 (27)
3.1.3大数据分析原理 (27)
3.2诱捕原理 (29)
3.2.1不存在的IP 的诱骗 (30)
3.2.2不存在的PORT 的诱骗 (31)
3.3安全联动原理 (31)
4华为公有云部署安全 (33)
4.1安全方案介绍 (33)
4.2各维度安全加固技术 (34)
4.2.1认证与权限控制 (34)
4.2.2数据保护 (36)
4.2.3安全检测与响应 (37)
4.2.4隐私保护 (37)
4.2.5安全管理 (38)
4.2.6安全隔离 (39)
4.2.7安全部署 (39)
A 缩略语 (41)
1 产生背景
伴随着传统电信网和互联网融合，传统电信平台也继承了IP 网络的威胁和漏洞，用户数据、系统数据、软硬件系统等无不面临着来自安全方面的各种威胁，面对各种各样的网络入侵与攻击。

在给业务产品带来增值应用的，电信网互联网融合能力的同时，也需要关注安全威胁带来的压力与挑战，通过积极主动的措施保证企业的安全。

2 威胁介绍
2.1ARP 安全
2.1.1ARP 功能介绍
定义
ARP（Address Resolution Protocol）安全是针对ARP 攻击的一种安全特性，它通过一
系列对ARP 表项学习、动态ARP 检测、ARP 表项保护和ARP 报文速率限制等措施来
保证网络设备的安全性。

ARP 安全特性不仅能够防范针对ARP 协议的攻击，还可以防
范网段扫描攻击等基于ARP 协议的攻击。

目的
ARP 安全可以防范针对ARP 表项的攻击。

ARP 协议有简单、易用的优点，但是也因为其没有任何安全机制，容易被攻击者利用。

ARP 的攻击方式多种多样，常见的就是泛洪攻击和欺骗攻击。

A RP泛洪攻击，（拒绝服务攻击D en i a l o f Se rv ic e），主要存在两种场景：
●从空间方面，攻击主要利用设备ARP 缓存的有限性，通过发送大量伪造的ARP 请
求、应答报文，造成设备的ARP 缓存溢出，从而无法缓存正常的ARP 表项，进而
阻碍正常转发。

●从时间方面，攻击主要利用设备计算能力的有限性，通过发送大量伪造的ARP 请求、
应答报文或其他能够触发设备ARP 处理的报文（比如攻击者利用工具扫描本网段
主机或者跨网段进行扫描时，设备在发送回应报文前，会查找ARP 表项，如果目的
IP 地址对应的MAC 地址不存在，会导致设备的ARP 模块向上层软件发送ARP Miss
消息，要求上层软件发送ARP 请求报文以获得目的端的MAC 地址，大量的扫描
报文会导致大量的A R P M iss消息。

），造成设备的计算资源长期忙于A RP处理，
影响其他业务的处理，进而阻碍正常转发。

●ARP 欺骗攻击主要包括用错误的主机MAC 地址刷新网关的ARP 缓存，导致主机
无法上线；向主机发送错误的ARP 应答，使主机得到错误的网关地址，导致主机无法上线。

ARP 攻击行为存在以下危害：
●会造成网络连接不稳定，引发用户通信中断。

●利用ARP 欺骗截取用户报文，进而非法获取游戏、网银、文件服务等系统的帐号和口
令，造成被攻击者重大利益损失。

为了避免上述ARP 攻击行为造成的各种危害，ARP 安全特性针对不同的攻击类型提供了多种解决方案，具体如表2-1 所示：
表2-1 ARP 安全针对不同攻击类型的解决方案
受益
可以有效降低用户为保证网络正常运行和网络信息安全而产生的维护成本。

可
以为用户提供更安全的网络环境和更稳定的网络服务。

2.1.2ARP 场景举例
ARP 防地址欺骗
在企业网中，交换机作为用户网关，用户上线后，在交换机上生成用户的ARP 表项。

如果
此时其中的一个用户PC 发送ARP 欺骗报文，就可以修改交换机上正常用户的ARP 表
项，导致正常用户无法正常转发。

这种情况下，可以在交换机上配置ARP 表项保护，防止非法用户修改设备上的ARP 表
项，保护合法用户正常访问网络。

图2-1 ARP 表项保护
如图2-1 所示，用户上线后，在交换机上生成用户的ARP 表，用户可以正常访问网络，
此时攻击者发送ARP 欺骗报文来修改用户的ARP 表，由于配置了ARP 表项保护，交换
机上用户的ARP 表不会被修改。

动态ARP 检测
在交换机作为二层设备使用时，为了防止下连用户的ARP 欺骗攻击，可以通过在交换机上
配置动态ARP 检测（DAI）来检查ARP 报文的合法性，对合法报文允许其通过，非法报文
直接丢弃，以防止其对网络上其它用户或网关的攻击。

图2-2 动态ARP 检测
如图2-2 所示，交换机作为二层设备，用户通过DHCP 上线。

用户上线后，设备会生成
相应的DHCP 绑定表，绑定表包括用户的源IP、源MAC、端口、VLAN 信息。

当用户发
送ARP 报文时，设备查找此ARP 信息是否和该用户的绑定表匹配，如果是相同的，则
允许报文通过，否则丢弃该ARP 报文。

合法用户存在绑定表，其发送的ARP 报文会被
允许通过，而攻击者发送虚假的ARP 报文，无法匹配到绑定表，报文被丢弃。

2.1.3原理描述
ARP 报文限速
如果设备对收到的大量ARP 报文全部进行处理，可能导致CPU 负荷过重而无法处理其
他业务。

因此，在处理之前，设备需要对ARP 报文进行限速，以保护CPU 资源。

设备提供了如下几类针对ARP 报文的限速功能：
●根据源MAC 地址或源IP 地址进行ARP 报文限速
当设备检测到某一个用户在短时间内发送大量的ARP报文，可以针对该用户配置基于源
MAC地址或源IP地址的ARP报文限速。

在1秒时间内，如果该用户的ARP报文数目超过设定
阈值（AR P报文限速值），则丢弃超出阈值部分的A RP报文。

根据源MAC 地址进行ARP 报文限速：如果指定MAC 地址，则针对指定源MAC
地址的ARP 报文根据限速值进行限速；如果不指定MAC 地址，则针对每一个
源MAC 地址的ARP 报文根据限速值进行限速。

根据源IP 地址进行ARP 报文限速：如果指定IP 地址，则针对指定源IP 地址
的ARP 报文根据限速值进行限速；如果不指定IP 地址，则针对每一个源IP 地
址的ARP 报文根据限速值进行限速。

●针对Super VLAN 的VLANIF 接口下的ARP 报文限速
当设备的VLANIF接口接收到触发ARP Miss消息的IP报文（关于ARP Miss消息的详细解
释请参见ARP Miss消息限速）时，或者在设备的VLANIF接口上启用ARP代理功能之后，
设备接收到目的IP符合代理条件且该IP对应的ARP条目不存在的ARP请求报文时，都会
触发Super VLAN的VLANIF接口进行ARP学习。

设备会将ARP请求报文在每个Sub VLAN
下复制，如果该Super VLAN下配置了大量Sub VLAN，那么设备将产生大量的ARP请求
报文。

为了避免CPU因复制、发送大量ARP请求报文而负担过重，设备支持Super VLAN
的VLANIF接口下的ARP报文限速功能，以对该场景下设备发送的ARP请求报文进行流量控
制。

●针对全局、VLAN 和接口的ARP 报文限速
设备支持在全局、VLAN和接口下配置ARP报文的限速值和限速时间，当同时在全局、
VLAN和接口下配置ARP报文的限速值和限速时间时，设备会先按照接口进行限速，再按照
VLAN进行限速，最后按照全局进行限速。

另外，在接口下还可以指定阻塞ARP报文的时间段。

如果设备的某个接口在ARP报文限速
时间内接收到的ARP报文数目超过了设定阈值（ARP报文限速值），则丢弃超出阈值部分
的ARP报文，并在接下来的一段时间内（即阻塞ARP报文时间段）持续丢弃该接口下收到
的所有ARP报文。

针对全局的ARP 报文限速：在设备出现ARP 攻击时，限制全局处理的ARP 报
文数量。

针对VLAN 的ARP 报文限速：在某个VLAN 内的所有接口出现ARP 攻击时，
限制处理收到的该VLAN 内的ARP 报文数量，配置本功能可以保证不影响其他
VLAN 内所有接口的ARP 学习。

针对接口的ARP 报文限速：在某个接口出现ARP 攻击时，限制处理该接口收
到的ARP 报文数量，配置本功能可以保证不影响其他接口的ARP 学习。

ARP Miss 消息限速
如果网络中有用户向设备发送大量目标IP地址不能解析的IP报文（即路由表中存在该IP
报文的目的IP对应的路由表项，但设备上没有该路由表项中下一跳对应的ARP表项），将导
致设备触发大量的ARP Miss消息。

这种触发ARP Miss消息的IP报文会被上送到主控板进行
处理，设备会根据ARP Miss消息生成和下发大量临时ARP表项并向目的网段发送大量ARP
请求报文，这样就增加了CPU的负担，同时加重了目的网段的负担。

为了避免这种IP 报文攻击所带来的危害，设备提供了如下几类针对ARP Miss 消息的
限速功能：
●根据源IP 地址进行ARP Miss 消息限速
当设备检测到某一源IP地址的IP报文在1秒内触发的ARP Miss消息数量超过了ARP Miss
消息限速值，就认为此源IP地址存在攻击。

此时如果设备对ARP Miss报文的处理方式是block方式，设备会丢弃超出限速值部分的
ARP Miss消息，即丢弃触发这些ARP Miss消息的ARP Miss报文，并下发一条ACL来丢弃
该源IP地址的后续所有ARP Miss报文；如果是none-block方式，设备只会通过软件限
速的方式丢弃超出限速值部分的ARP Miss消息，即丢弃触发这些ARP Miss消息的ARP
Miss报文。

如果指定了IP地址，则针对指定源IP址的ARP Miss消息根据限速值进行限速；如果不指
定IP地址，则针对每一个IP地址的ARP Miss消息根据限速值进行限速。

●针对全局、VLAN 和接口的ARP Miss 消息限速
设备支持在全局、VLAN和接口下配置ARP M iss消息限速，有效顺序为接口优先，VLAN
其次，最后为全局。

针对全局的ARP Miss 消息限速：在设备出现目标IP 地址不能解析的IP 报文
攻击时，限制全局处理的ARP Miss 消息数量。

针对VLAN 的ARP Miss 消息限速：在某个VLAN 内的所有接口出现目标IP 地
址不能解析的IP 报文攻击时，限制处理该VLAN 内报文触发的ARP Miss 消息
数量，配置本功能可以保证不影响其他VLAN 内所有接口的IP 报文转发。

针对接口的ARP Miss 消息限速：在某个接口出现目标IP 地址不能解析的IP
报文攻击时，限制处理该接口收到的报文触发的ARP Miss 消息数量，配置本
功能可以保证不影响其他接口的IP 报文转发。

●通过设定临时ARP 表项的老化时间控制ARP Miss 消息的触发频率
当IP报文触发ARP Miss消息时，设备会根据ARP Miss消息生成临时ARP表项，并且向
目的网段发送ARP请求报文。

在临时ARP 表项老化时间范围内，
设备收到ARP 应答报文前，匹配临时ARP 表项的IP 报文将被丢弃并且不会触
发ARP Miss 消息。

设备收到ARP 应答报文后，则生成正确的ARP 表项来替换临时ARP 表项。

当老化时间超时后，设备会清除临时ARP 表项。

此时如果设备转发IP 报文匹
配不到对应的ARP 表项，则会重新触发ARP Miss 消息并生成临时ARP 表项，
如此循环重复。

当判断设备受到攻击时，可以增大临时ARP表项的老化时间，减小设备ARP Miss消息的
触发频率，从而减小攻击对设备的影响。

免费ARP 报文主动丢弃11
免费ARP报文是一种特殊的ARP报文，该报文中携带的源IP地址和目地IP地址都是本机
IP地址，源MAC地址是本机MAC地址，目的MAC地址是广播地址。

当有新的用户主机接入
网络时，该用户主机会以广播的方式发送免费ARP报文，来确认广播域中有无其他设
备与自己的IP地址冲突；当用户主机改变了硬件地址时，为了能够在其他所有用户主机的
ARP表项老化之前通告其硬件地址已经发生改变，该用户主机也会发送免费ARP报文。

由于发送免费ARP报文的用户主机并不需要经过身份验证，任何一个用户主机都可以发送
免费ARP报文，这样就引入了两个问题：
●如果网络中出现大量的免费ARP 报文，设备会因为处理这些报文而导致CPU 负荷
过重，从而不能正常处理合法的ARP 报文。

●如果设备处理的免费ARP 报文是攻击者伪造的，会造成设备错误地更新ARP 表项，
导致合法用户的通信流量发生中断。

ARP 表项严格学习
如果大量用户在同一时间段内向设备发送大量ARP报文，或者攻击者伪造正常用户的
ARP报文发送给设备，则会造成下面的危害：
●设备因处理大量ARP 报文而导致CPU 负荷过重，同时设备学习大量的ARP 报文
可能导致设备ARP 表项资源被无效的ARP 条目耗尽，造成合法用户的ARP 报文
不能继续生成ARP 条目，进而导致用户无法正常通信。

●伪造的ARP 报文将错误地更新设备的ARP 表项，导致用户无法正常通信。

为避免上述危害，可以在网关设备上部署ARP表项严格学习功能
ARP表项严格学习是指只有本设备主动发送的ARP请求报文的应答报文才能触发本设备
学习ARP，其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP，这样，可
以拒绝大部分的ARP报文攻击。

通常情况下，当UserA向Gateway发送ARP请求报文后，Gateway会向UserA回应ARP应
答报文，并且添加或更新UserA对应的ARP表项。

当Gateway配置ARP表项严格学习功
能以后：
●对于Gateway 收到UserA 发送来的ARP 请求报文，Gateway 不添加也不更新
UserA 对应的ARP 表项。

如果该请求报文请求的是Gateway 的MAC 地址，那么
Gateway 会向UserA 回应ARP 应答报文。

●如果Gateway 向UserB 发送ARP 请求报文，待收到与该请求对应的ARP 应答报
文后，Gateway 会添加或更新UserB 对应的ARP 表项。

ARP 表项限制
ARP表项限制功能应用在网关设备上，可以限制设备的某个接口学习动态ARP表项的数目。

默认状态下，接口可以学习的动态ARP表项数目规格与全局的ARP表项规格保持一致。

当
部署完ARP表项限制功能后，如果指定接口下的动态ARP表项达到了允许学习的最大数目，
将不再允许该接口继续学习动态ARP表项，以保证当一个接口所接入的某一用户主机发起
ARP攻击时不会导致整个设备的ARP表资源都被耗尽。

ARP 表项固化
Attacker仿冒UserA向Gateway发送伪造的ARP报文，导致Gateway的ARP表中记录了
错误的UserA地址映射关系，造成UserA接收不到正常的数据报文。

为了防御这种欺骗网关攻击，可以在网关设备上部署ARP表项固化功能。

网关设备在第一
次学习到ARP以后，不再允许用户更新此ARP表项或只能允许更新此ARP表项的部分信息，
或者通过发送单播ARP请求报文的方式对更新ARP条目的报文进行合法性确认。

动态ARP 检测
网络中针对ARP的攻击层出不穷，中间人攻击是常见的ARP欺骗攻击方式之一
下图所示，是中间人攻击的一个场景。

攻击者主动向UserA发送伪造UserB的ARP报文，导
致UserA的ARP表中记录了错误的UserB地址映射关系，攻击者可以轻易获取到UserA 原本
要发往UserB的数据；同样，攻击者也可以轻易获取到UserB原本要发往UserA的数据。

这
样，UserA与UserB间的信息安全无法得到保障。

为了防御中间人攻击，可以在Switch 上部署动态ARP 检测DAI （Dynamic ARP
Inspection）功能。

动态ARP检测是利用绑定表来防御中间人攻击的。

当设备收到ARP报文时，将此ARP报文
对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较，如果信息匹配，说
明发送该ARP报文的用户是合法用户，允许此用户的ARP报文通过，否则就认为是攻击，
丢弃该ARP报文。

说明
动态ARP 检测功能仅适用于DHCP Snooping 场景。

设备使能DHCP Snooping 功能后，当DHCP 用户上线
时，设备会自动生成DHCP Snooping 绑定表；对于静态配置IP 地址的用户，设备不会生成DHCP
Snooping 绑定表，所以需要手动添加静态DHCP Snooping 绑定表。

当Switch上部署动态ARP检测功能后，如果攻击者连接到Switch并试图发送伪造的ARP 报
文，Switch会根据绑定表检测到这种攻击行为，对该ARP报文进行丢弃处理。

如果
Switch上同时使能了动态ARP检测丢弃报文告警功能，则当ARP报文因不匹配绑定表而被
丢弃的数量超过了告警阈值时，Switch会发出告警通知管理员。

ARP 防网关冲突15
下图所示，攻击者B将伪造网关的ARP报文发送给用户A，使用户A误以为攻击者即为网
关。

用户A的ARP表中会记录错误的网关地址映射关系，使得用户A跟网关的正常数据通信
中断。

为了防范攻击者仿冒网关，可以在网关设备上使能ARP防网关冲突功能。

当设备收到的
ARP报文存在下列情况之一：
ARP 报文的源IP 地址与报文入接口对应的VLANIF 接口的IP 地址相同
ARP 报文的源IP 地址是入接口的虚拟IP 地址，但ARP 报文源MAC 地址不是VRRP 虚MAC
说明
一个VRRP 备份组，被当作一个共享局域网内主机的缺省网关，即虚拟交换机。

一个虚拟交换机
拥有一个VRRP 虚MAC，VRRP 虚MAC 根据虚拟交换机ID 生成，格式为：00-00-5E-00- 01-
{VRID}(VRRP)。

当虚拟交换机回应ARP 请求时，使用的是VRRP 虚MAC 地址，而不是接口的真
实MAC 地址。

设备就认为该ARP报文是与网关地址冲突的ARP报文，设备将生成ARP防攻击表项，并
在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文，这样可以
防止与网关地址冲突的ARP报文在VLAN内广播。

此时，还可以在设备上使能发送免费ARP报文功能，通过广播发送正确的免费ARP报文到
所有用户，迅速将已经被攻击的用户记录的错误网关地址映射关系修改正确。

发送免费ARP 报文
Attacker仿冒网关向UserA发送了伪造的ARP报文，导致UserA的ARP表中记录了错误的
网关地址映射关系，从而正常的数据不能被网关接收，为了避免这种危害，可以在网关设
备上部署发送免费ARP报文功能，定期更新用户的ARP表项，使得用户ARP表项中记录
的是正确的网关MAC地址。

ARP 报文合法性检查17
ARP报文合法性检查功能可以部署在接入设备或网关设备上，用来对MAC地址和IP地址不
合法的报文进行过滤。

设备支持以下三种可以任意组合的检查。

●源MAC 地址检查：设备会检查ARP 报文中的源MAC 地址和以太网数据帧首部中
的源MAC 地址是否一致，一致则认为合法，否则丢弃报文；
●目的MAC 地址检查：设备会检查ARP 应答报文中的目的MAC 地址是否和以太网
数据帧首部中的目的MAC 地址一致，一致则认为合法，否则丢弃报文；
●IP 地址检查：设备会检查ARP 报文中的源IP 和目的IP 地址，全0、全1、或者组
播IP 地址都是不合法的，需要丢弃。

对于ARP 应答报文，源IP 和目的IP 地址都
进行检查；对于ARP 请求报文，只检查源IP 地址。

DHCP 触发ARP 学习18
在DHCP用户场景下，当DHCP用户数目很多时，设备进行大规模ARP表项的学习和老化会
对设备性能和网络环境形成冲击。

为了避免此问题，可以在网关设备上部署DHCP触发ARP学习功能。

当DHCP服务器给用户
分配了IP地址，网关设备会根据VLANIF接口上收到的DHCP ACK报文直接生成该用户的
ARP表项。

该功能生效的前提是使能DHCP Snooping功能。

网关设备上还可同时部署动态ARP检测功能，防止DHCP用户的ARP表项被伪造的ARP
报文恶意修改。

VPLS 网络中ARP 代理18
在VPLS 网络中，为了防止PW （P seudo Wire ）侧的伪造ARP 报文被广播到AC
（Attachment Circuit）侧形成ARP欺骗攻击，可以在PE设备上部署VPLS网络中的ARP
代理功能，以及VPLS网络中的DHCP Snooping功能。

部署上述功能后，PW侧的ARP报文将会被上送到主控板进行处理：
●如果是ARP 请求报文，并且报文的目的IP 地址在DHCP Snooping 绑定表中存
在，则设备根据DHCP Snooping 绑定表组装ARP 应答报文直接回应PW 侧的请
求方。

●如果不是ARP 请求报文，或者ARP 请求报文的目的IP 地址不在DHCP Snooping
绑定表中，则报文被正常转发。

2.2IPSG 安全
2.2.1IPSG 功能介绍
定义
IPSG（IP Source Guard）是一种基于二层接口的源IP地址过滤技术，它能够防止恶意
主机伪造合法主机的IP地址来仿冒合法主机，还能确保非授权主机不能通过自己指定IP
地址的方式来访问网络或攻击网络。

IP Source Guard功能基于绑定表对IP报文进行匹配检查。

对于DHCP动态分配地址的用
户，使能DHCP Snooping功能后会生成动态绑定表；对于静态分配地址的用户，需要手
工建立静态绑定表。

当设备在转发IP报文时，将此IP报文中的源IP、源MAC、端口、VLAN
信息和绑定表的信息进行比较，如果信息匹配，说明是合法用户，则允许此用户正常转发，
否则认为是攻击，丢弃该IP报文。

目的
随着网络规模越来越大，基于源IP的攻击也逐渐增多，一些攻击者利用欺骗的手段获取
到网络资源，取得合法使用网络的能力，甚至造成被欺骗者无法访问网络，或者信息泄露，
造成不可估量的损失。

受益
防御网络上的IP 源攻击，降低对IP 源攻击的维护成本。

更安全的网络环境，不用担心IP 源攻击的骚扰，获取到更稳定的网络服务。

2.2.2IPSG 场景举例
网络中常常存在针对IP源地址进行欺骗的攻击行为，如攻击者仿冒合法用户发送IP报文
给服务器，或者伪造其他用户的源IP地址进行通信，从而导致合法用户不能正常获得网
络服务。

IPSG特性是针对此类攻击的一种对抗方法。

图2-3 IP/MAC 欺骗攻击示意图
上图是IP/MAC 欺骗攻击的典型场景，当网络中存在攻击者向服务器发送带有合法用户IP
和MAC 的报文，令服务器误以为已经学到这个合法用户的IP 和MAC，真正的合法用
户不能从服务器获得服务；另外交换机会把合法用户的MAC 信息刷到攻击者所在的端
口，导致原本发往合法用户的流量被攻击者截获。

为了防止此类攻击，可以在DC 交换机上接口或者VLAN 上配置IPSG 功能，对入方向
的IP 报文进行绑定表匹配检查，如果报文的信息和绑定表不一致则丢弃报文。

2.2.3原理描述
IPSG 利用绑定表（源IP 地址、源MAC 地址、所属VLAN、入接口的绑定关系）去匹配
检查二层接口上收到的IP 报文，只有匹配绑定表的报文才允许通过，其他报文将被丢
弃。

如下图所示，用户UserA 通过DHCP 上线。

用户上线后，SwitchA 根据DHCP ACK 报
文生成用户的绑定表，绑定表包括用户的源IP、源MAC、端口、VLAN 信息。

当用户发
送IP 报文时，SwitchA 查找此IP 报文是否和该用户的绑定表匹配，如果是相同的，则
允许报文通过，否则丢弃该IP 报文。

这样，合法用户发送的IP 报文会被允许通过，而
攻击者发送虚假的IP 报文，无法匹配到绑定表，报文被丢弃，无法攻击其他用户。

图2-4 IP Source Guard 原理
2.3DHCP Snooping
2.3.1DHCP Snooping 功能介绍
定义
DHCP Snooping 是DHCP 的一种安全特性，用于保证DHCP 客户端从合法的DHCP 服
务器获取IP 地址，并记录DHCP 客户端IP 地址与MAC 地址等参数的对应关系，防止
网络上针对DHCP 攻击。

目的
目前DHCP 协议（RFC2131）在应用的过程中遇到很多安全方面的问题，网络中存在一
些针对DHCP 的攻击，如DHCP DoS（Denial of Service）攻击、DHCP Server 仿冒攻
击、DHCP 仿冒续租报文攻击等。

为了保证网络通信业务的安全性，可引入DHCP
Snooping 技术，在DHCP Client 和DHCP Server 之间建立一道防火墙，以抵御网络中
针对DHCP 的各种攻击。

受益
设备具有防御网络上DHCP 攻击的能力，增强了设备的可靠性，保障通信网络的正常
运行。

为用户提供更安全的网络环境，更稳定的网络服务。

2.3.2DHCP Snooping 场景举例
开启了DHCP Snooping 的设备将用户（DHCP 客户端）的DHCP 请求报文通过信任接
口发送给合法的DHCP 服务器。

之后设备根据DHCP 服务器回应的DHCP ACK 报文信
息生成DHCP Snooping 绑定表。

后续设备再从开启了DHCP Snooping 的接口接收用
户发来的DHCP 报文时，会进行匹配检查，能够有效防范非法用户的攻击。

简单一句话，就是IP 地址只能从我指定的信任接口获取，其它接口发过来的报文我都
不信任，不接受，也不分配IP 地址。

2.3.3原理描述
2.3.3.1DHCP Snooping 基本功能
DHCP Snooping 信任功能
DHCP Snooping 的信任功能，能够保证客户端从合法的服务器获取IP 地址。

网络中如果存在私自架设的伪DHCP 服务器，则可能导致DHCP 客户端获取错误的IP
地址和网络配置参数，无法正常通信。

DHCP Snooping 信任功能可以控制DHCP 服务
器应答报文的来源，以防止网络中可能存在的伪造或非法DHCP 服务器为其他主机分配IP
地址及其他配置信息。

DHCP Snooping 基本监听功能
DHCP Snooping 的基本监听功能，能够记录DHCP 客户端IP 地址与MAC 地址等参数
的对应关系。