实验37:DHCP Snooping 配置
|
77
|
0

1223 字
|
5 分钟

DHCP Snooping介绍

DHCP Snooping的基本概念

DHCP Snooping是一种网络安全机制,用于防止未经授权的DHCP服务器在局域网中提供IP地址分配服务。它通过监视网络上的DHCP消息流量并验证其合法性,提供了对DHCP服务器和客户端之间通信的精确控制。

DHCP Snooping的特点和功能

  • DHCP消息验证:DHCP Snooping会验证通过受保护接口传递的DHCP消息的合法性。它会检查DHCP消息的源MAC地址、源IP地址和服务器标识符(Server Identifier),确保这些消息来自经过授权的DHCP服务器。
  • DHCP绑定表:DHCP Snooping维护一个DHCP绑定表,用于记录通过受保护接口获得的DHCP绑定信息。该表可以跟踪设备的MAC地址、IP地址、租约信息以及它们所连接的接口。
  • 动态绑定和静态绑定:DHCP Snooping可以区分动态分配的地址和静态配置的地址。动态绑定是指通过DHCP服务器自动分配的地址,而静态绑定是管理员手动配置的地址。静态绑定的地址在绑定表中得到优先处理和保护。
  • 保护机制:DHCP Snooping可以对恶意DHCP服务器和非法DHCP客户端进行保护。它可以阻止未经授权的DHCP服务器提供IP地址分配服务,并防止DHCP客户端在局域网中滥用IP地址。

1.2实验目的

学习和理解DHCP Snooping的工作原理

验证DHCP Snooping配置的正确性

防止未授权的DHCP服务器和DHCP欺骗攻击

检测和处理异常DHCP行为

1.3实验组网介绍

1.4实验效果

设备开启DHCP Snooping后将客户端的DHCP请求报文通过信任接口发送给合法的DHCP服务器。之后设备根据DHCP服务器回应的DHCP ACK报文信息生成DHCP Snooping绑定表。后续设备再从开启了DHCP Snooping的接口接收用户发来的DHCP报文时,会进行匹配检查,能够有效防范非法用户的攻击。

1.5实验任务配置

1.5.1配置思路

启用DHCP Snooping:

  • 确认所需交换机或网络设备支持DHCP Snooping功能。
  • 在目标交换机上启用DHCP Snooping全局配置。

配置受保护接口:

  • 选择需要启用DHCP Snooping的接口,通常是与DHCP服务器连接的接口。
  • 在这些接口上启用DHCP Snooping功能。

配置DHCP绑定表:

  • 配置静态绑定:将已知的MAC地址与IP地址进行静态绑定,确保这些地址不受DHCP Snooping影响。
  • 配置动态绑定:配置允许通过DHCP Snooping分配的动态绑定地址的相关参数,如租约时间等。

设置信任和非信任接口:

  • 配置信任接口:对于连接到可信任DHCP服务器的接口,将其标记为可信任接口,以确保DHCP消息不受限制。
  • 配置非信任接口:对于连接到非信任DHCP服务器的接口,将其标记为非信任接口,启用DHCP消息验证和过滤功能。

验证和监控:

  • 验证DHCP Snooping的配置是否正确:通过测试DHCP客户端的IP地址分配和验证绑定表中的条目,确认DHCP Snooping的配置生效。
  • 监控DHCP Snooping日志:检查DHCP Snooping日志,观察并记录任何异常或非法的DHCP消息。

1.5.2配置步骤

SW1下开启dhcp和dhcp snooping

[SW1]dhcp enable
[SW1]dhcp snooping enable

将G0/0/1~G0/0/24端口加入端口组

[SW1]port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/24

全部开启端口snooping

[SW1-port-group]dhcp snooping enable

删除端口snooping服务

[SW1-GigabitEthernet0/0/1]undo dhcp snooping enable

开启端口信任,只有这个端口分配的IP地址才会接受

[SW1-GigabitEthernet0/0/1]dhcp snooping trusted

查看

[SW1-GigabitEthernet0/0/1]display dhcp snooping configuration

R1下使能dhcp

[R1]dhcp en

配置接口IP

[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 2.2.2.1 24

dhcp开启全局

[R1-GigabitEthernet0/0/0]dhcp select global

创建地址池office

[R1]ip pool office

地址池网段

[R1-ip-pool-office]network 1.1.1.0 mask 24

配置网关地址

[AR1-ip-pool-office]gateway-list 1.1.1.1

配置DNS地址

[AR1-ip-pool-office]dns-list 1.1.1.1 2.2.2.2

租期5天

[R1-ip-pool-office]lease day 5

R2下配置

接口配置IP

[R2]interface gig0/0/0
[R2-GigabitEthernet0/0/0]ip address 2.2.2.1 24

dhcp设为全局

[R2-GigabitEthernet0/0/0]dhcp select global

创建地址池ikun

[R2]ip pool ikun

地址池配置网段

[R2-ip-pool-ikun]network 2.2.2.0 mask 24

配置网关地址

[R2-ip-pool- ikun]gateway-list 2.2.2.1

配置dns地址

[R2-ip-pool- ikun]dns-list 2.2.2.1 2.2.2.2

租期为1天

[R2-ip-pool- ikun]lease day 1
[Huawei-ip-pool-ikun]excluded-ip-address 2.2.2.101 2.2.2.254

在PC机上设置DNS地址

重新获取ip

PC>ipconfig