查看: 5067|回复: 54

[路由交换RS] 企业网中最常用的DHCP技术配置- DHCP安全管理

  [复制链接]

3132

主题

6508

帖子

10万

积分

管理团队

人民公仆

Rank: 20Rank: 20Rank: 20Rank: 20Rank: 20

贡献
565
技术
432
活跃
950
在线时间
10358 小时

我爱三通

发表于 2014-1-19 21:26:36 | 显示全部楼层 |阅读模式

无标题_副本.jpg

节选:实验五 DHCP安全管理
实验学时:2
实验类型:验证
一、实验目的
1. 掌握DHCP中继工作原理;
2. 掌握DHCP snooping工作原理;
3. 掌握基于DHCP snooping的IP源防护的配置和管理方法;
4. 能够综合运用相关技术解决IP地址欺骗、ARP攻击及私有DHCP server等多种问题。
二、实验条件
Cisco 3750交换机、两台Cisco 2811路由、H3C 3610交换机、PC机。
三、实验原理及相关知识
通过DHCP中继、DHCP Snooping及IPSG源防护,实现DHCP安全管理。
四、实验步骤
1. 实验介绍
⑴ 拓扑结构
⑵ 情景分析:如图,
  ① 以R0路由器为合法的DHCP server 并为PC分配IP地址;
  ② 以Cisco 3750为汇聚交换机提供DHCP 中继;
  ③ 以H3C 3610为接入交换机提供DHCP Snooping和IP源防护功能;
  ④ 以R1路由器为非法、私有的DHCP Server,并冒充合法DHCP server提供IP地址。
⑶ 实验达到的目标:
  ① PC通过Cisco 3750汇聚交换机的中继功能,可以获得与本机不在同一子网的合法DHCP Server分配的IP地址;
  ② 通过H3C 3610接入交换机的DHCP Snooping功能不允许非法DHCP Server的接入,同时不允许用户伪造MAC地址;
  ③ 通过H3C 3610接入交换机的IP源防护功能,杜绝用户静态配置IP地址和IP地址欺骗。
2. DHCP中继实验
⑴ 合法DHCP Server的配置(以R0为合法Server)
en
conf t
hostname DHCPsever
ip dhcp pool vlan10 //VLAN10的地址池
network 192.168.10.0
default-router 192.168.10.1
exit
ip dhcp pool vlan20 //VLAN20的地址池
network 192.168.20.0
default-router 192.168.20.1
ip dhcp excluded-address 192.168.10.1
ip dhcp excluded-address 192.168.20.1
int f0/0
ip add 10.1.1.1 255.255.255.0 //与汇聚交换机的互连地址,也是DHCP Server的地址
no sh
exit
ip route 0.0.0.0 0.0.0.0 10.1.1.2
⑵ 汇聚交换机Cisco 3750的配置(DHCP 中继、SVI)
en
conf t
hostname 3750
ip routing                        //启用路由功能
int f0/24 //三层接口,连接合法DHCP Server
no switchport
ip add 10.1.1.2 255.255.255.0 //配置IP地址
no sh
exi
vlan 10 //建立VLAN 10
exi
vlan 20 //建立VLAN 20
exi
int vlan 10
ip add 192.168.10.1 255.255.255.0 //VLAN10 SVI
no sh
ip helper-address 10.1.1.1 //DHCP 中继,VLAN10中所有PC从该DHCP获取地址
exit
int vlan 20
ip add 192.168.20.1 255.255.255.0
no sh
ip helper-address 10.1.1.1 //中继
exi
int f0/1
switchport trunk encapsulation dot1q
switchport mode trunk
end
⑶ 接入交换机H3C 3610
sy
int Ethernet1/0/1 //与汇聚交换机互连端口,设为Trunk
port link-type trunk
quit
vlan 10 //建立VLAN10
port Ethernet 0/0/2 //把端口即PC0放入VLAN10
quit
vlan 20 //建立VLAN20
port Ethernet 0/0/3 //把PC1放入VLAN20
quit
 ⑷ 获取IP地址的测试
  将PC0和PC1按图连接在3610相应端口,并设置成DHCP自动获取IP地址,然后观察它们是否可以获得IP地址;
  在PC的CMD界面,使用ipconfig /all命令查看并记录其DHCP Server的IP地址。
3. DHCP SNOOPING实验
⑴ 非法私有DHCP Server(R1)
en
conf t
hostname DHCPsever1
ip dhcp pool test                   //建立1个非法的DHCP Server地址池
network 172.16.1.0 255.255.255.0
default-router 172.16.1.1
exit
int f0/0 //DHCP Server的IP地址
ip add 172.16.1.1 255.255.255.0
no sh
⑵ 无DHCP Snooping功能的接入交换机3610配置
sy
vlan 10 //把非法私有的DHCP Server放入VLAN 10,让其与
port Ethernet 0/0/4 //PC0在同一VLAN10中
⑶ 测试
  使PC0重新通过DHCP获取IP,并观察IP地址,由于其与非法DHCP Server在同一子网,其IP 可能为172.16.1.0网段的,并无法参与正常通讯。(此处需要多试几次,才可能获得非法的IP地址)
  为了杜绝这种仿冒DHCP SEVER,我们在3610上开启DHCP SNOOPING
⑷ 有DHCP Snooping功能的接入交换机3610配置
sy
dhcp-snooping //启用dhcp-snooping功能
int Ethernet 0/0/1 //将1号口设置为信任口,其余为非信任接口
dhcp-snooping trust
  将0/0/1号端口 设置为信任端口,PC将只信任从此端口获得的IP地址。
⑸ 测试
  再用PC0进行获取IP地址的测试,观察其IP地址是否可能来自非法的DHCP Server?
4. 在接入交换机3610 IPSG设置(使用户不能够使用静态IP地址)
⑴ 接入交换机3610配置
int Ethernet 0/0/2 //在启用dhcp-snooping功能的基础上
  ip soure check mac-address ip-address //进行MAC和IP地址的检查
int Ethernet 0/0/3 //使每一个数据包符合DHCP条目
  ip soure check mac-address ip-address
  交换机将对源IP地址和源MAC地址在soure表中进行查找。DHCP SNOOPING列表自动被添加到soure表中。不在表中的源IP和源MAC 将无法对外通信,除非手动添加到soure表中。
⑵ 测试
在PC0和PC1中静态配置合法的IP地址,观察其是否可以相互访问,即是否可以使用静态IP地址。
五、思考题
⑴ 进一步理解DHCP SNOOPING的工作原理。
⑵ 解决IP地址欺骗、ARP攻击及私有DHCP server等多种问题的相关方法。

购买主题 本主题需向作者支付 1 金币 才能浏览

0

主题

378

帖子

1092

积分

论坛VIP原价+免回复特权

Rank: 8Rank: 8

贡献
0
技术
0
活跃
0
在线时间
0 小时
发表于 2014-1-19 21:30:28 | 显示全部楼层
锄禾日当午,发帖真辛苦。谁知坛中餐,帖帖皆辛苦!www.santongit.com

0

主题

291

帖子

856

积分

Gib

Rank: 5Rank: 5

贡献
0
技术
0
活跃
0
在线时间
0 小时
发表于 2014-3-21 02:37:04 | 显示全部楼层
坚持学习,成就技术技术之王!

0

主题

346

帖子

4430

积分

论坛VIP原价+免回复特权

Rank: 8Rank: 8

贡献
0
技术
0
活跃
-2
在线时间
0 小时
发表于 2014-3-23 03:01:15 | 显示全部楼层
谁知盘中餐,发帖真辛苦!

3

主题

266

帖子

1922

积分

Gib

Rank: 5Rank: 5

贡献
0
技术
0
活跃
412
在线时间
32 小时
发表于 2014-11-9 00:53:35 | 显示全部楼层
看看是不是我想要的东西

0

主题

62

帖子

365

积分

Kib

Rank: 3Rank: 3

贡献
0
技术
0
活跃
94
在线时间
11 小时
发表于 2014-11-17 16:29:35 | 显示全部楼层
谁知盘中餐,发帖真辛苦!

2

主题

555

帖子

4332

积分

Yib

Rank: 10Rank: 10Rank: 10

贡献
0
技术
0
活跃
1112
在线时间
87 小时
发表于 2014-11-21 11:57:02 | 显示全部楼层
每天来学习,跟三通一起成长!

1

主题

628

帖子

4455

积分

Yib

Rank: 10Rank: 10Rank: 10

贡献
240
技术
0
活跃
830
在线时间
96 小时
发表于 2014-11-26 11:18:05 | 显示全部楼层
虚拟化,据库,程学习就在www.santongit.com

1

主题

628

帖子

4455

积分

Yib

Rank: 10Rank: 10Rank: 10

贡献
240
技术
0
活跃
830
在线时间
96 小时
发表于 2014-11-26 11:18:41 | 显示全部楼层
虚拟化,据库,程学习就在www.santongit.com

0

主题

210

帖子

1175

积分

Mib

Rank: 4

贡献
0
技术
0
活跃
114
在线时间
23 小时
发表于 2014-11-27 14:02:46 | 显示全部楼层
坚持学习,成就技术技术之王!
使用 高级模式(可批量传图、插入视频等)
您需要登录后才可以回帖 登录 | 立即注册

快速回复 返回顶部 返回列表