思科实验配置DHCP Snooping

已于 2024-05-21 19:39:54 修改
阅读量583 收藏 4
点赞数 14
文章标签: linux 运维 服务器 网络安全 计算机网络
于 2024-05-21 19:32:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Againmmm/article/details/139099724
版权

1.实验目的

(1)掌握DHCP 欺骗攻击和耗竭攻击的原理。

(2)掌握DHCP Snooping 的工作原理。

(3)掌握DHCP Snooping 的配置和调试方法。配置静态端口安全、动态端口安全和粘滞端口安全的方法。

2.实验内容

(1)按照实验拓扑搭建实验环境。

(2)配置DHCP服务器。可以参考文件《DHCP前期实验参考》使用命令进行配置,也可以通过图形化界面进行配置。

(3)配置DHCP Snooping。

(4)查看DHCP监听信息。

3.实验步骤

实验拓扑图配置步骤:

1.pc机:选择DHCP

2.server配置

合法DHCP服务器配置

非法DHCP服务器配置

3.交换机配置

Switch> enable
Switch# configure terminal

# 启用DHCP Snooping并配置VLAN
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 1

# 配置信任端口(连接合法DHCP服务器的端口)
Switch(config)# interface FastEthernet0/2
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# exit

# 配置不信任端口(连接到客户端的端口)
Switch(config)# interface FastEthernet0/1
Switch(config-if)# ip dhcp snooping limit rate 10
Switch(config-if)# exit

# 配置不信任端口(连接非法DHCP服务器的端口)
Switch(config)# interface FastEthernet0/3
Switch(config-if)# ip dhcp snooping limit rate 10
Switch(config-if)# exit

# 保存配置
Switch(config)# exit
Switch# write memory

4.测试基本网络连接

ping 172.16.1.1  # Ping交换机
ping 172.16.1.200  # Ping合法DHCP服务器

5.配置

S1(config)#ip dhcp snooping //开启S1的DHCP监听功能
S1(config)#ip dhcp snooping vlan 1 //配置S1监听VLAN1上的DHCP数据包
S1(config)#ip dhcp snooping information option
//开启交换机 option 82 功能,开启 DHCP 监听后,该功能默认开启
Sl(config)#ip dhcp snooping database flash:dhcp_snooping_sl.db
//将 DHCP 监听绑定表保存在 Flash 中,文件名为 dhcp_snooping_s1.db,目的是防止断电后记录丢失。如果记录很多,可以把文件保存到TFTP 或者FTP服务器上
S1(config)#ip dhcp snooping database write-delay 15//DHCP 监听绑定表发生更新后,等待15秒再写入文件,默认为 300 秒,可选范围为 15~86400 秒
S1(config)#ip dhcp snooping database timeout15 //DHCP 监听绑定表尝试写入操作失败后,重新尝试写入操作,直到 15 秒后停止尝试。默认为300秒,可选范围为0~86400秒
S1(config)#ip dhcp snooping information option allow-untrusted //配置交换机 S1 如果从不可信任端口接收到的 DHCP 数据包中带有 option 82 选项,也接收该 DHCP 数据包,默认是不接收的S1(config)#interface fastEthernet0/2
S1(confg-if)#ip dhcp snooping trust //配置可信任端口,默认交换机所有端口都是不可信任端口
S1(config-if-range)#ip dhcp snooping limit rate 5//限制接口每秒能接收的DHCP数据包数量为5个

6.实验调试

(1)查看 DHCP 监听的信息

Switch# show ip dhcp snooping

 

 (2)查看 DHCP 监听绑定表

Switch# show ip dhcp snooping binding

 (3)查看DHCP 监听数据库信息

Switch# show ip dhcp snooping database

Hsinx
关注
  • 14
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
思科与华为设备中DHCP配置命令(超详细~~!!)
PICACHU+++的博客
01-29 1万+
DHCP(Dynamic Host Configuration Protocol),动态主机配置协议:计算机用来获得配置信息的协议。DHCP容许给某一计算机赋以IP地址而不需要管理者在服务器数据中配置有关该计算机信息。DHCP作用就是给PC分配一个IP。在一个局域网里面,你的路由有这个功能的话,那它就会把PC的MC地址记住,然后给这个PC分配一个IP地址,然后这个MC地址的PC以后就用这个IP地址上网,作用就是可以防止外来PC上网,和避免IP地址重复使用造成的错误。
dhcp snooping.doc
05-24
DHCP Snooping 是一种 DHCP 安全特性,Cisco 交换机支持在每个 VLAN 基础上启用 DHCP 监听特性。通过这种特性,交换机能够拦截第二层 VLAN 域内的所有 DHCP 报文。DHCP 监听将交换机端口划分为两类: * 非信任端口...
DHCP Snooping(Cisco交换机)功能标准配置对照
05-16
DHCP Snooping(Cisco交换机)功能标准配置对照
Cisco DHCP Snooping
weixin_33681778的博客
07-06 434
在启用了DHCP的网络中可能会发生两种情况。 攻击者可以通过发送数千个DHCP请求,来发起DoS攻击(Starving Attack)。DHCP服务器无法判断请求是否是真实的,因此会消耗掉所有可用的IP地址。这会导致合法客户端无法通过DHCP请求获得IP地址。 攻击者把一台DHCP服务器连接到网络中,并使其充当该网段的DHCP服务器角色。这样入侵者就可以为默认网关和域名服务器分配错误的DH...
Cisco交换机DHCPSnooping
weixin_34362790的博客
11-10 245
一、为什么要使用DHCP服务及能解决的问题 DHCP提高了管理效率,但在DHCP服务的管理上存在一些问题,如DHCP Server的冒充,DHCP Server的DOS攻击,DHCP耗竭攻击,有些用户随便指定IP地址,造成IP地址冲突等。 二、DHCP Snooping技术 DHCP监听(DHCP Snooping)是一种DHCP安全...
Cisco DHCP Snooping + IPSG 功能实现
weixin_34112030的博客
04-25 1323
    什么是DHCPDHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,前身是BOOTP协议, 使用UDP协议工作,常用的2个端口:67(DHCP server),68(DHCP client)。DHCP通常被用于局域网环境,主要作用是 集中的管理、分配IP地址,使client动态的获得IP地址、Gateway...
思科 DHCP监听基础配置 (DHCP snooping)
wulala112233的博客
06-12 1254
DHCP snooping
Cisco交换机关于DHCP SNOOPING配置指令
par@ish的博客
10-23 1566
在Cisco交换机上配置DHCP SnoopingDHCP欺骗防护)
Cisco3750交换机配置DHCP服务器实例[文].pdf
10-11
Cisco3750交换机配置DHCP服务器实例 本文档介绍了如何在Cisco 3750交换机上配置DHCP服务器实例,实现_vlan_之间的独立网络环境。该配置中,交换机划分三个_vlan_:vlan2 为服务器所在网络,vlan3 和 vlan4 分别为...
开启Cisco交换机DHCP_Snooping功能.doc
09-28
开启Cisco交换机DHCP_Snooping功能.doc
Cisco交换机DHCP_Snooping功能详述.doc
09-28
Cisco交换机DHCP_Snooping功能详述.doc
企业网安全防范系列之三:思科交换机上DHCP Snooping的运用,解决私接路由器导致地址错乱
网络之路Blog(其他平台同名)
03-04 3058
拓扑 DHCP服务在网络中应用很常见,但是也容易被干扰,为什么这么说呢,主要是因为DHCP的机制很简单,而且谁先响应先用谁的,并没有什么验证以及安全机制,这样如果网络中存在多个DHCP服务器的话,那么我们就不能确保内网PC能够准确的获取到对应的地址。而且也有攻击软件,能够非常快速的把合法地址池给全部获取完毕,这样内网PC获取到的则是攻击者提供的网段,比如错误的网关,DNS,这样使得更加容易让客户端访问错误的信息。 1、正常情况下DHCP的获取 说明:正常情况下由三层交换机来提供DHCP地址服...
有关思科dhcp snooping的测试总结
hanlin8023的博客
02-28 4853
DHCP snooping作为DAI和IP Sourceguard特性的基础组件,做好配置显得尤为重要。下面总结一下此特性及部署注意事项:1. 开启dhcp snooping的交换机,默认都会给所有非信任接口发来的DHCP请求报文添加option 82(中继扩展信息)然后发送给上联的DHCP服务器,如果DHCP服务器是思科的,默认情况下思科DHCP服务是拒绝分配IP地址给option 82中gi...
配置DHCP Snooping
最新发布
weixin_46041124的博客
02-23 2055
而每个交换机的端口推荐只连接一台PC,否则如果交换机某端口下串接一个Hub,在Hub上连接了若干PC的话,那么如果凑巧该Hub下发生DHCP欺骗,由于欺骗报文都在Hub端口间直接转发了,没有受到接入层交换机的DHCP Snooping功能的控制,这样的欺骗就无法防止了。2、在接入交换机SwitchA上全局使能DHCP Snooping,然后在连接PC的接口使能DHCP Snooping,同时将上联核心交换机的接口配置为信任接口(信任接口正常接收DHCP服务器响应的DHCP报文。
DHCP Snooping配置以及介绍
GUOJUNWEI11的博客
11-22 1603
DHCP SnoopingDHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
DHCPsnooping 配置实验(1)
149527
10-05 136
信任接口正常接收DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文。另外,设备只会将DHCP客户端的DHCP请求报文通过信任接口发送给合法的DHCP服务器。配置后客户端不能找到仿冒者dhcp服务器。开启dhcp服务器来源检测。
DHCP Snooping理论与配置
m0_49864110的博客
03-06 4257
DHCP SnoopingDHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。设备收到arp报文时,将arp报文对应的源IP地址、源MAC地址、接口、Vlan等信息和绑定表的信息进行对比(如果信息匹配,则允许arp报文通过;1、配置静态绑定表,手动配置IP地址、MAC地址、Vlan等信息绑定DHCP Snooping IP源防攻击技术(IPSG)动态ARP检测技术(DAI)
思科无线网络配置实验
09-07
你好!下面是一个基本的思科无线网络配置实验的步骤: 1. 连接到思科无线控制器:使用电脑或终端设备通过网线连接到思科无线控制器。确保你已经获得了控制器的管理IP地址。 2. 配置管理IP地址:使用控制器的命令行界面或图形用户界面(GUI),将管理IP地址分配给控制器。这将使你能够通过网络访问控制器。 3. 配置无线局域网(WLAN):在控制器上创建一个新的WLAN,设置SSID(网络名称),选择加密方式(如WPA2),配置其他相关参数。 4. 配置无线接入点(AP):将无线接入点连接到控制器。你可以使用自动发现功能或手动添加AP的方式进行配置。 5. 配置无线网络安全:根据需求,为WLAN配置安全策略,如预共享密钥(PSK)、RADIUS认证等。 6. 配置无线网络特性:根据需求启用或禁用特定功能,如客户端漫游、负载均衡、无线QoS等。 7. 测试无线网络连接:使用无线设备连接到配置的WLAN并进行测试,确保能够成功连接和传输数据。 请注意,以上只是一个基本的思科无线网络配置实验的步骤,实际操作中可能还涉及到其他配置和调整。在进行实验前,建议参考思科官方文档或相关教程,以确保正确配置和操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值