DHCP安全問題及其防范措施

word可自由復(fù)制編輯word可自由復(fù)制編輯DHCP安全問題及其防范措施摘要本文主要介紹計(jì)算機(jī)網(wǎng)絡(luò)當(dāng)中一個(gè)比較常見的安全問題—DHCP的安全問題。DHCP稱作動(dòng)態(tài)主機(jī)分配協(xié)議（DynamicHostConfigurationProtocol,DHCP）是一個(gè)局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用UDP協(xié)議工作，主要有兩個(gè)用途：給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)供應(yīng)商自動(dòng)分配IP地址給用戶給內(nèi)部網(wǎng)絡(luò)管理員作為對(duì)所有計(jì)算機(jī)作中央管理的手段。DHCP用一臺(tái)或一組DHCP服務(wù)器來管理網(wǎng)絡(luò)參數(shù)的分配，這種方案具有容錯(cuò)性。即使在一個(gè)僅擁有少量機(jī)器的網(wǎng)絡(luò)中，DHCP仍然是有用的，因?yàn)橐慌_(tái)機(jī)器可以幾乎不造成任何影響地被增加到本地網(wǎng)絡(luò)中。甚至對(duì)于那些很少改變地址的服務(wù)器來說，DHCP仍然被建議用來設(shè)置它們的地址。如果服務(wù)器需要被重新分配地址（RFC2071）的時(shí)候，就可以在盡可能少的地方去做這些改動(dòng)。對(duì)于一些設(shè)備，如路由器和防火墻，則不應(yīng)使用DHCP。把TFTP或SSH服務(wù)器放在同一臺(tái)運(yùn)行DHCP的機(jī)器上也是有用的，目的是為了集中管理。DHCP也可用于直接為服務(wù)器和桌面計(jì)算機(jī)分配地址，并且通過一個(gè)PPP代理，也可為撥號(hào)及寬帶主機(jī)，以及住宅NAT網(wǎng)關(guān)和路由器分配地址。DHCP一般不適用于使用在無邊際路由器和DNS服務(wù)器上。DHCP安全問題在網(wǎng)絡(luò)安全方面是一個(gè)不可忽略的問題，這種問題內(nèi)部網(wǎng)絡(luò)及網(wǎng)絡(luò)服務(wù)提供商在分配IP地址造成的IP沖突、偽造DHCP服務(wù)器等攻擊。本文介紹了如何防范和解決此類問題的方法和步驟。關(guān)鍵字：計(jì)算機(jī)、DHCP、安全問題、攻擊DHCPsafetyandsafeguardsABSTRACTThispapermainlyintroducesthecomputernetworkofacommonsecurityproblemsandDHCPsafetyproblems.DHCPdynamicdistributionagreementcalledthemainframe（DynamichostconfigurationprotocolandDHCP）isaLANnetworkprotocols,theuseofUDPagreement,therearetwomajorpurpose：totheinternalnetworkornetworkserviceprovidertheIPaddressassignedtotheusertotheinternalnetworkadministratorinallcomputeronthecentraladministration.DHCPwithoneorasetofDHCPservertomanagethedistributionnetworkparameters,theschemehasafaulttolerance.Eveninasmallamountofthemachinehasanetwork,andDHCPisstilluseful,foramachinecanhardlyhaveanyinfluence,havebeenaddedtothelocalnetwork.EvenforthosewhorarelychangetheaddressoftheserverandDHCPstillbeingproposedtosettheaddress.Iftheserverneedstobereassignedaddress（rfc2071）,itcanbeasfewaspossibletodothesechanges.Forsomeequipment,suchastherouterandshouldnotbeusedDHCP.TheTFTPserverorSSHinwithaDHCPmachineisalsousefulinordertoadminister.DHCPmayalsodirectlytotheserveranddesktopcomputers,andtheassignmentofaddressesbyaPPPagentoradialing,andbroadbandhost,andthehouseassignmentofaddressesNATgatewayandroutersgenerallydonotapply.DHCPuseintheDNSservermarginalrouters.DHCPsecurityissuesinthenetworksecurityisnottoneglecttheissueoftheinternalnetworkandthenetworkserviceproviderintheallocationofIPaddressoftheconflictandDHCPserverIP,forgeryattack.Thisarticleexplainshowtopreventandresolvetheproblemofmethodsandprocedures.Keyword:Computer、DHCP、Safety、Attack目錄摘要 IIABSTRACT III第一章 緒論 11.1概述 1第二章 應(yīng)用技術(shù) 22.1DHCP應(yīng)用技術(shù) 22.2技術(shù)優(yōu)點(diǎn) 22.3應(yīng)用場(chǎng)合 22.3.1DHCP服務(wù)欺騙攻擊 32.3.2ARP“中間人”攻擊 32.3.3IP/MAC欺騙攻擊 42.3.4DHCP報(bào)文泛洪攻擊 42.4應(yīng)用限制 5第三章 特性介紹 53.1相關(guān)術(shù)語 53.2相關(guān)協(xié)議 63.3設(shè)備處理流程 63.3.1DHCPSnooping表項(xiàng)的建立與老化 63.3.2DHCPSnooping信任端口功能 73.3.3ARP入侵檢測(cè)功能 83.3.4IP過濾功能 93.3.5DHCP報(bào)文限速功能 93.4DHCPSnooping與DHCPRelay安全機(jī)制比較 10第四章 典型組網(wǎng)案例 11結(jié)束語 12參考文獻(xiàn) 12緒論1.1概述DHCP是DynamicHostConfigurationProtocol(動(dòng)態(tài)主機(jī)配置協(xié)議)縮寫，它的前身是BOOTP。BOOTP原本是用于無磁盤主機(jī)連接的網(wǎng)絡(luò)上面的：網(wǎng)絡(luò)主機(jī)使用BOOTROM而不是磁盤起動(dòng)并連接上網(wǎng)絡(luò)，BOOTP

則可以自動(dòng)地為那些主機(jī)設(shè)定TCP/IP環(huán)境。但BOOTP有一個(gè)缺點(diǎn)：您在設(shè)定前須事先獲得客戶端的硬件地址，而且，與IP的對(duì)應(yīng)是靜態(tài)的。換而言之，BOOTP非常缺乏"動(dòng)態(tài)性"，若在有限的IP資源環(huán)境中，BOOTP的一對(duì)一對(duì)應(yīng)會(huì)造成非?？捎^的浪費(fèi)。DHCP可以說是BOOTP的增強(qiáng)版本，它分為兩個(gè)部份：一個(gè)是服務(wù)器端，而另一個(gè)是客戶端。所有的IP網(wǎng)絡(luò)設(shè)定數(shù)據(jù)都由DHCP服務(wù)器集中管理，并負(fù)責(zé)處理客戶端的DHCP要求；而客戶端則會(huì)使用從服務(wù)器分配下來的IP環(huán)境數(shù)據(jù)。比較起B(yǎng)OOTP，DHCP透過"租約"的概念，有效且動(dòng)態(tài)的分配客戶端的TCP/IP設(shè)定，而且，作為兼容考慮，DHCP也完全照顧了BOOTPClient的需求。DHCP的分配形式首先，必須至少有一臺(tái)DHCP工作在網(wǎng)絡(luò)上面，它會(huì)監(jiān)聽網(wǎng)絡(luò)的DHCP請(qǐng)求，并與客戶端磋商TCP/IP的設(shè)定環(huán)境。應(yīng)用技術(shù)2.1DHCP應(yīng)用技術(shù)DHCP協(xié)議是在UDP和IP協(xié)議的基礎(chǔ)上運(yùn)行，有很多不安全因素。而且DHCP的運(yùn)作機(jī)制中，通常服務(wù)器和客戶端沒有認(rèn)證機(jī)制，如果網(wǎng)絡(luò)上存在多臺(tái)DHCP服務(wù)器將會(huì)給網(wǎng)絡(luò)照成混亂。例如，惡意用戶冒充DHCP服務(wù)器，發(fā)放錯(cuò)誤的IP地址、DNS服務(wù)器信息或默認(rèn)網(wǎng)關(guān)信息，來實(shí)現(xiàn)流量的截取等等。交換機(jī)可以通過運(yùn)行在網(wǎng)絡(luò)層的DHCP中繼的安全功能，或運(yùn)行在數(shù)據(jù)鏈路層的DHCPSnooping功能來監(jiān)聽DHCP報(bào)文，記錄服務(wù)器分配給客戶端的IP地址等配置信息，并通過與交換機(jī)上其它功能模塊的配合，提高整體網(wǎng)絡(luò)的安全性。2.2技術(shù)優(yōu)點(diǎn)DHCPSnooping是運(yùn)行在二層接入設(shè)備上的一種DHCP安全特性。設(shè)備通過監(jiān)聽DHCP報(bào)文，過濾不可信任的DHCP信息；建立和維護(hù)DHCPSnooping表項(xiàng)，記錄用戶從DHCP服務(wù)器獲取的IP地址和用戶主機(jī)的MAC地址的對(duì)應(yīng)關(guān)系，一般可以與其它功能模塊配合使用，提高網(wǎng)絡(luò)的安全性。DHCP中繼運(yùn)行在網(wǎng)絡(luò)層，其安全功能與DHCPSnooping類似，同樣是記錄用戶的MAC地址與IP地址的信息，一般與ARP功能模塊配合使用，提高網(wǎng)絡(luò)的安全性。2.3應(yīng)用場(chǎng)合DHCP中繼和DHCPSnooping的安全特性主要應(yīng)用于接入層交換機(jī)上，實(shí)現(xiàn)常見二層網(wǎng)絡(luò)攻擊的防范。2.3.1DHCP服務(wù)欺騙攻擊在DHCP工作過程中，通常服務(wù)器和客戶端沒有認(rèn)證機(jī)制，如果網(wǎng)絡(luò)上存在多臺(tái)DHCP服務(wù)器，不僅會(huì)給網(wǎng)絡(luò)造成混亂，也對(duì)網(wǎng)絡(luò)安全造成很大威脅。這種網(wǎng)絡(luò)中出現(xiàn)非法的DHCP服務(wù)器，通常分為兩種情況：1、用戶不小心配置的DHCP服務(wù)器，由此引起的網(wǎng)絡(luò)混亂非常常見。2、黑客將正常的DHCP服務(wù)器的IP地址耗盡，然后冒充合法的DHCP服務(wù)器，為客戶端分配IP地址等配置參數(shù)。例如黑客利用冒充的DHCP服務(wù)器，為用戶分配一個(gè)經(jīng)過修改的DNS服務(wù)器地址，在用戶毫無察覺的情況下被引導(dǎo)至預(yù)先配置好的假的金融網(wǎng)站或電子商務(wù)網(wǎng)站，騙取用戶的賬戶和密碼，這種攻擊的危害是很大。為了防止DHCP服務(wù)欺騙攻擊，交換機(jī)提供了"DHCPSnooping信任端口"特性，對(duì)DHCP服務(wù)器信息來源進(jìn)行控制。只允許處理信任端口接收的DHCP響應(yīng)報(bào)文，而非信任端口接收到的DHCP響應(yīng)報(bào)文被交換機(jī)丟棄，防止DHCP客戶端從網(wǎng)絡(luò)中不可信任的DHCP服務(wù)器獲取IP地址。2.3.2ARP“中間人”攻擊按照ARP協(xié)議的設(shè)計(jì)，一個(gè)主機(jī)即使收到的ARP應(yīng)答并非自身請(qǐng)求得到的，也會(huì)將其IP地址和MAC地址的對(duì)應(yīng)關(guān)系添加到自身的ARP映射表中。這樣可以減少網(wǎng)絡(luò)上過多的ARP數(shù)據(jù)通信，但也為“ARP欺騙”創(chuàng)造了條件。如圖3所示，HostA和HostC通過Switch進(jìn)行通信。此時(shí)，如果有黑客（HostB）想探聽HostA和HostC之間的通信，它可以分別給這兩臺(tái)主機(jī)發(fā)送偽造的ARP應(yīng)答報(bào)文，使HostA和HostC用MAC_B更新自身ARP映射表中與對(duì)方IP地址相應(yīng)的表項(xiàng)。此后，HostA和HostC之間看似"直接"的通信，實(shí)際上都是通過黑客所在的主機(jī)間接進(jìn)行的，即HostB擔(dān)當(dāng)了"中間人"的角色,可以對(duì)信息進(jìn)行了竊取和篡改。這種攻擊方式就稱作"中間人（Man-In-The-Middle）攻擊"。為了防止ARP中間人攻擊，交換機(jī)提供了"ARP入侵檢測(cè)"特性，根據(jù)動(dòng)態(tài)獲取的DHCPSnooping表項(xiàng)或靜態(tài)配置的IP與MAC綁定表項(xiàng)，對(duì)非法ARP報(bào)文進(jìn)行過濾，保證接入交換機(jī)只傳遞合法的ARP請(qǐng)求和應(yīng)答信息。2.3.3IP/MAC欺騙攻擊常見的欺騙種類有MAC欺騙、IP欺騙、IP/MAC欺騙，黑客可以偽造報(bào)文的源地址進(jìn)行攻擊，其目的一般為偽造身份或者獲取針對(duì)IP/MAC的特權(quán)，另外此方法也被應(yīng)用與DOS（DenyofService,拒絕服務(wù)）攻擊，嚴(yán)重的危害了網(wǎng)絡(luò)安全。為了防止IP/MAC欺騙攻擊，交換機(jī)提供了IP過濾特性，開啟該功能后，減緩級(jí)可以強(qiáng)制經(jīng)過某一端口流量的源地址符合動(dòng)態(tài)獲取的DHCPSnooping表項(xiàng)或靜態(tài)配置的IP與MAC綁定表項(xiàng)的紀(jì)錄，防止攻擊者通過偽造源地址來實(shí)施攻擊。此外，該功能也可以防止用戶隨便指定IP地址，造成的網(wǎng)絡(luò)地址沖突等現(xiàn)象。2.3.4DHCP報(bào)文泛洪攻擊DHCP報(bào)文泛洪攻擊是指：惡意用戶利用工具偽造大量DHCP請(qǐng)求報(bào)文發(fā)送到服務(wù)器，一方面惡意耗盡了IP資源，使得合法用戶無法獲得IP資源；另一方面，如果交換機(jī)上開啟了DHCPSnooping功能，會(huì)將接受到的DHCP報(bào)文上傳到CPU。因此大量的DHCP報(bào)文攻擊設(shè)備會(huì)使DHCP服務(wù)器高負(fù)荷運(yùn)行，甚至?xí)?dǎo)致設(shè)備癱瘓。為了防止上述DHCP報(bào)文泛洪攻擊，交換機(jī)提供了“DHCP報(bào)文限速”特性，使受到攻擊的端口暫時(shí)關(guān)閉，來避免此類攻擊對(duì)網(wǎng)絡(luò)和服務(wù)器的沖擊。2.4應(yīng)用限制DHCP中繼和DHCPSnooping的安全特性運(yùn)行于不同的網(wǎng)絡(luò)環(huán)境中，因此兩者只需選擇其一應(yīng)用。在同一交換機(jī)上，DHCPSnooping的啟動(dòng)需以關(guān)閉DHCP中繼為前提。為了使DHCP客戶端通過DHCPSnooping設(shè)備從合法的DHCP服務(wù)器獲取IP地址，必須將DHCPSnooping設(shè)備上與合法DHCP服務(wù)器相連的端口設(shè)置為信任端口，設(shè)置的信任端口和與DHCP客戶端相連的端口必須在同一個(gè)VLAN內(nèi)。建議用戶不要在交換機(jī)上同時(shí)配置DHCPSnooping功能和靈活QinQ功能。否側(cè)可能導(dǎo)致DHCPSnooping功能無法正常使用。配置IP過濾功能之前，需要先開啟交換機(jī)的DHCPSnooping功能，并配置信任端口。建議用戶不要在匯聚組中的端口上配置IP過濾功能。如果交換機(jī)支持IRF功能，建議用戶不要在Fabric端口上配置IP過濾功能。特性介紹3.1相關(guān)術(shù)語DHCPServer：DHCP服務(wù)器，為用戶提供可用的IP地址等配置信息。DHCPClient：DHCP客戶端，通過DHCP動(dòng)態(tài)申請(qǐng)IP地址的用戶。DHCPRelay：DHCP中繼，用戶跨網(wǎng)段申請(qǐng)IP地址時(shí)，實(shí)現(xiàn)DHCP報(bào)文的中繼轉(zhuǎn)發(fā)功能。DHCPSnooping：DHCP監(jiān)聽，紀(jì)錄通過二層設(shè)備申請(qǐng)到IP地址的用戶信息。DHCPSecurity：DHCP安全特性，實(shí)現(xiàn)合法用戶IP地址表的管理功能。3.2相關(guān)協(xié)議RFC951：BootstrapProtocol(BOOTP)RFC1497：BOOTPVendorInformationExtensionsRFC1542：ClarificationsandExtensionsfortheBootstrapProtocolRFC2131：DynamicHostConfigurationProtocolRFC2132：DHCPOptionsandBOOTPVendorExtensionsRFC3046：DHCPRelayAgentInformationOption3.3設(shè)備處理流程3.3.1DHCPSnooping表項(xiàng)的建立與老化開啟DHCPSnooping功能后，交換機(jī)根據(jù)設(shè)備的不同特點(diǎn)可以分別采取監(jiān)聽DHCP-REQUEST廣播報(bào)文和DHCP-ACK單播報(bào)文的方法來記錄用戶獲取的IP地址等信息。目前，H3C低端以太網(wǎng)交換機(jī)的DHCPSnooping表項(xiàng)主要記錄的信息包括：分配給客戶端的IP地址、客戶端的MAC地址、VLAN信息、端口信息、租約信息，如圖4所示。為了對(duì)已經(jīng)無用的DHCPSnooping動(dòng)態(tài)表項(xiàng)進(jìn)行定期進(jìn)行老化刪除，以節(jié)省系統(tǒng)的資源，和減少安全隱患，交換機(jī)支持根據(jù)客戶端IP地址的租約對(duì)DHCPSnooping表項(xiàng)進(jìn)行老化。具體實(shí)現(xiàn)過程為：當(dāng)DHCPSnooping至少記錄了一條正式表項(xiàng)時(shí)，交換機(jī)會(huì)啟動(dòng)20秒的租約定時(shí)器，即每隔20秒輪詢一次DHCPSnooping表項(xiàng)，通過表項(xiàng)記錄的租約時(shí)間、系統(tǒng)當(dāng)前時(shí)間與表項(xiàng)添加時(shí)間的差值來判斷該表項(xiàng)是否已經(jīng)過期。若記錄的表項(xiàng)租約時(shí)間小于系統(tǒng)當(dāng)前時(shí)間與表項(xiàng)添加時(shí)間的差值，則說明該表項(xiàng)已經(jīng)過期，將刪除該條表項(xiàng)，從而實(shí)現(xiàn)DHCPSnooping動(dòng)態(tài)表項(xiàng)的老化。需要注意的是：DHCPSnooping表項(xiàng)的老化功能有一定的局限性，當(dāng)DHCP服務(wù)器端的租約設(shè)置為無限期或者很長(zhǎng)時(shí)，會(huì)出現(xiàn)老化不及時(shí)的現(xiàn)象。3.3.2DHCPSnooping信任端口功能DHCPSnooping的信任端口功能所提供的是對(duì)于DHCP服務(wù)器信息來源的控制，此功能通過將不信任端口接收的DHCP響應(yīng)報(bào)文丟棄，防止DHCP客戶端從網(wǎng)絡(luò)中不可信任的DHCP服務(wù)器獲取IP地址。信任端口是與合法的DHCP服務(wù)器直接或間接連接的端口。信任端口對(duì)接收到的DHCP報(bào)文正常轉(zhuǎn)發(fā)，從而保證了DHCP客戶端獲取正確的IP地址。不信任端口是不與合法的DHCP服務(wù)器連接的端口。如果從不信任端口接收到DHCP服務(wù)器響應(yīng)的DHCP-ACK和DHCP-OFFER報(bào)文則會(huì)丟棄，從而防止了DHCP客戶端獲得錯(cuò)誤的IP地址。開啟DHCPSnooping功能后，交換機(jī)上的所有端口默認(rèn)被配置為非信任端口，此時(shí)從非信任端口接收的DHCP-ACK、DHCP-NAK、DHCP-OFFER報(bào)文都不會(huì)被交換機(jī)轉(zhuǎn)發(fā)、也不會(huì)上送CPU處理；當(dāng)某端口被配置為信任端口時(shí)，從該端口傳入的DHCP-ACK、DHCP-NAK及DHCP-OFFER報(bào)文將被鏡像至CPU處理。需要注意的是：目前交換機(jī)實(shí)現(xiàn)的DHCPSnooping功能是需要和DHCPSnooping信任端口功能配合使用的。啟動(dòng)DHCPSnooping功能后，為了使DHCP客戶端能從合法的DHCP服務(wù)器獲取IP地址，必須將與合法DHCP服務(wù)器相連的端口設(shè)置為信任端口，設(shè)置的信任端口和與DHCP客戶端相連的端口必須在同一個(gè)VLAN內(nèi)。3.3.3ARP入侵檢測(cè)功能1.ARP入侵檢測(cè)功能工作機(jī)制為了防止ARP中間人攻擊，H3C低端以太網(wǎng)交換機(jī)支持將收到的ARP（請(qǐng)求與回應(yīng)）報(bào)文重定向到CPU，結(jié)合DHCPSnooping安全特性來判斷ARP報(bào)文的合法性并進(jìn)行處理，具體如下。當(dāng)ARP報(bào)文中的源IP地址及源MAC地址的綁定關(guān)系與DHCPSnooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)匹配，且ARP報(bào)文的入端口及其所屬VLAN與DHCPSnooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)一致，則為合法ARP報(bào)文，進(jìn)行轉(zhuǎn)發(fā)處理。當(dāng)ARP報(bào)文中的源IP地址及源MAC地址的綁定關(guān)系與DHCPSnooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)不匹配或ARP報(bào)文的入端口，入端口所屬VLAN與DHCPSnooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)不一致，則為非法ARP報(bào)文，直接丟棄，并通過Debug打印出丟棄信息提示用戶。2.手工配置IP靜態(tài)綁定表項(xiàng)DHCPSnooping表只記錄了通過DHCP方式動(dòng)態(tài)獲取IP地址的客戶端信息，如果用戶手工配置了固定IP地址，其IP地址、MAC地址等信息將不會(huì)被DHCPSnooping表記錄，因此不能通過基于DHCPSnooping表項(xiàng)的ARP入侵檢測(cè)，導(dǎo)致用戶無法正常訪問外部網(wǎng)絡(luò)。為了能夠讓這些擁有合法固定IP地址的用戶訪問網(wǎng)絡(luò)，交換機(jī)支持手工配置IP靜態(tài)綁定表的表項(xiàng)，即：用戶的IP地址、MAC地址及連接該用戶的端口之間的綁定關(guān)系。以便正常處理該用戶的報(bào)文。3.ARP信任端口設(shè)置由于實(shí)際組網(wǎng)中，交換機(jī)的上行口會(huì)接收其他設(shè)備的請(qǐng)求和應(yīng)答的ARP報(bào)文，這些ARP報(bào)文的源IP地址和源MAC地址并沒有在DHCPSnooping表項(xiàng)或者靜態(tài)綁定表中。為了解決上行端口接收的ARP請(qǐng)求和應(yīng)答報(bào)文能夠通過ARP入侵檢測(cè)問題，交換機(jī)支持通過配置ARP信任端口，靈活控制ARP報(bào)文檢測(cè)功能。對(duì)于來自信任端口的所有ARP報(bào)文不進(jìn)行檢測(cè)，對(duì)其它端口的ARP報(bào)文通過查看DHCPSnooping表或手工配置的IP靜態(tài)綁定表進(jìn)行檢測(cè)。3.3.4IP過濾功能IP過濾功能是指交換機(jī)可以通過DHCPSnooping表項(xiàng)和手工配置的IP靜態(tài)綁定表，對(duì)非法IP報(bào)文進(jìn)行過濾的功能。在端口上開啟該功能后，交換機(jī)首先下發(fā)ACL規(guī)則，丟棄除DHCP報(bào)文以外的所有IP報(bào)文。（同時(shí)，需要考慮DHCPSnooping信任端口功能是否啟動(dòng)。如果沒有啟動(dòng)，則丟棄DHCP應(yīng)答報(bào)文，否則，允許DHCP應(yīng)答報(bào)文通過。）接著，下發(fā)ACL規(guī)則，允許源IP地址為DHCPSnooping表項(xiàng)或已經(jīng)配置的IP靜態(tài)綁定表項(xiàng)中的IP地