5067| 54
|
[路由交换RS] 企业网中最常用的DHCP技术配置- DHCP安全管理 |
节选:实验五 DHCP安全管理 实验学时:2 实验类型:验证 一、实验目的 1. 掌握DHCP中继工作原理; 2. 掌握DHCP snooping工作原理; 3. 掌握基于DHCP snooping的IP源防护的配置和管理方法; 4. 能够综合运用相关技术解决IP地址欺骗、ARP攻击及私有DHCP server等多种问题。 二、实验条件 Cisco 3750交换机、两台Cisco 2811路由、H3C 3610交换机、PC机。 三、实验原理及相关知识 通过DHCP中继、DHCP Snooping及IPSG源防护,实现DHCP安全管理。 四、实验步骤 1. 实验介绍 ⑴ 拓扑结构 ⑵ 情景分析:如图, ① 以R0路由器为合法的DHCP server 并为PC分配IP地址; ② 以Cisco 3750为汇聚交换机提供DHCP 中继; ③ 以H3C 3610为接入交换机提供DHCP Snooping和IP源防护功能; ④ 以R1路由器为非法、私有的DHCP Server,并冒充合法DHCP server提供IP地址。 ⑶ 实验达到的目标: ① PC通过Cisco 3750汇聚交换机的中继功能,可以获得与本机不在同一子网的合法DHCP Server分配的IP地址; ② 通过H3C 3610接入交换机的DHCP Snooping功能不允许非法DHCP Server的接入,同时不允许用户伪造MAC地址; ③ 通过H3C 3610接入交换机的IP源防护功能,杜绝用户静态配置IP地址和IP地址欺骗。 2. DHCP中继实验 ⑴ 合法DHCP Server的配置(以R0为合法Server) en conf t hostname DHCPsever ip dhcp pool vlan10 //VLAN10的地址池 network 192.168.10.0 default-router 192.168.10.1 exit ip dhcp pool vlan20 //VLAN20的地址池 network 192.168.20.0 default-router 192.168.20.1 ip dhcp excluded-address 192.168.10.1 ip dhcp excluded-address 192.168.20.1 int f0/0 ip add 10.1.1.1 255.255.255.0 //与汇聚交换机的互连地址,也是DHCP Server的地址 no sh exit ip route 0.0.0.0 0.0.0.0 10.1.1.2 ⑵ 汇聚交换机Cisco 3750的配置(DHCP 中继、SVI) en conf t hostname 3750 ip routing //启用路由功能 int f0/24 //三层接口,连接合法DHCP Server no switchport ip add 10.1.1.2 255.255.255.0 //配置IP地址 no sh exi vlan 10 //建立VLAN 10 exi vlan 20 //建立VLAN 20 exi int vlan 10 ip add 192.168.10.1 255.255.255.0 //VLAN10 SVI no sh ip helper-address 10.1.1.1 //DHCP 中继,VLAN10中所有PC从该DHCP获取地址 exit int vlan 20 ip add 192.168.20.1 255.255.255.0 no sh ip helper-address 10.1.1.1 //中继 exi int f0/1 switchport trunk encapsulation dot1q switchport mode trunk end ⑶ 接入交换机H3C 3610 sy int Ethernet1/0/1 //与汇聚交换机互连端口,设为Trunk port link-type trunk quit vlan 10 //建立VLAN10 port Ethernet 0/0/2 //把端口即PC0放入VLAN10 quit vlan 20 //建立VLAN20 port Ethernet 0/0/3 //把PC1放入VLAN20 quit ⑷ 获取IP地址的测试 将PC0和PC1按图连接在3610相应端口,并设置成DHCP自动获取IP地址,然后观察它们是否可以获得IP地址; 在PC的CMD界面,使用ipconfig /all命令查看并记录其DHCP Server的IP地址。 3. DHCP SNOOPING实验 ⑴ 非法私有DHCP Server(R1) en conf t hostname DHCPsever1 ip dhcp pool test //建立1个非法的DHCP Server地址池 network 172.16.1.0 255.255.255.0 default-router 172.16.1.1 exit int f0/0 //DHCP Server的IP地址 ip add 172.16.1.1 255.255.255.0 no sh ⑵ 无DHCP Snooping功能的接入交换机3610配置 sy vlan 10 //把非法私有的DHCP Server放入VLAN 10,让其与 port Ethernet 0/0/4 //PC0在同一VLAN10中 ⑶ 测试 使PC0重新通过DHCP获取IP,并观察IP地址,由于其与非法DHCP Server在同一子网,其IP 可能为172.16.1.0网段的,并无法参与正常通讯。(此处需要多试几次,才可能获得非法的IP地址) 为了杜绝这种仿冒DHCP SEVER,我们在3610上开启DHCP SNOOPING ⑷ 有DHCP Snooping功能的接入交换机3610配置 sy dhcp-snooping //启用dhcp-snooping功能 int Ethernet 0/0/1 //将1号口设置为信任口,其余为非信任接口 dhcp-snooping trust 将0/0/1号端口 设置为信任端口,PC将只信任从此端口获得的IP地址。 ⑸ 测试 再用PC0进行获取IP地址的测试,观察其IP地址是否可能来自非法的DHCP Server? 4. 在接入交换机3610 IPSG设置(使用户不能够使用静态IP地址) ⑴ 接入交换机3610配置 int Ethernet 0/0/2 //在启用dhcp-snooping功能的基础上 ip soure check mac-address ip-address //进行MAC和IP地址的检查 int Ethernet 0/0/3 //使每一个数据包符合DHCP条目 ip soure check mac-address ip-address 交换机将对源IP地址和源MAC地址在soure表中进行查找。DHCP SNOOPING列表自动被添加到soure表中。不在表中的源IP和源MAC 将无法对外通信,除非手动添加到soure表中。 ⑵ 测试 在PC0和PC1中静态配置合法的IP地址,观察其是否可以相互访问,即是否可以使用静态IP地址。 五、思考题 ⑴ 进一步理解DHCP SNOOPING的工作原理。 ⑵ 解决IP地址欺骗、ARP攻击及私有DHCP server等多种问题的相关方法。
购买主题
本主题需向作者支付 1 金币 才能浏览
| |
相关帖子 |
|
发表于 2014-1-19 21:30:28
|
显示全部楼层
| ||
发表于 2014-3-21 02:37:04
|
显示全部楼层
| ||
发表于 2014-3-23 03:01:15
|
显示全部楼层
| ||
发表于 2014-11-9 00:53:35
|
显示全部楼层
| ||
发表于 2014-11-17 16:29:35
|
显示全部楼层
| ||
发表于 2014-11-21 11:57:02
|
显示全部楼层
| ||
发表于 2014-11-26 11:18:05
|
显示全部楼层
| ||
发表于 2014-11-26 11:18:41
|
显示全部楼层
| ||
发表于 2014-11-27 14:02:46
|
显示全部楼层
| ||