eNSP模拟器中DHCP实验4(DHCP Snooping)

-----此实验简单的演示DHCP Snooping的配置过程----

1. 实验与拓扑图及相关说明

在这里插入图片描述

  1. DHCP Snooping 的应用场景:如图,此时存在2个DHCP服务器,但是受信的只有DHCPServer1,无法验证DHCPServer2的安全性。所以PC1只需要从DHCPServer1处获得IP地址即可,拒绝Server2处的DHCP ack 应答报文。
  2. 拓扑图说明:实验使用2台AR2220路由器充当DHCP服务器,且均已配置全局地址池模式(之前博文有提到详细配置),DHCP Snooping的配置主要再交换机S5700上。
  3. 实验前的验证:可以再两台路由器配置好DHCP地址池后,再交换机LSW1上分别宕掉GE0/0/1接口和GE0/0/2以验证PC1(开启PC后将IPv4配置切换为DHCP模式,在命令行使用 ipconfig 命令可查看PC的IP地址,切换DHCP服务器后PC的IP地址不能立即更新,所以需要使用 ipconfig /lease 释放原有的IP地址,然后再用 ipconfig /renew 命令重新获取IP地址)是否能正常获取2个地址池的地址,若都能则表示DHCP服务器能正常工作,即可开始本次实验。
2. 实验配置命令

使能交换机的 DHCP

[LSW1] dhcp enable

使能交换机的 DHCP Snooping

[LSW1] dhcp snooping enable

进入VLAN1 并在VLAN1 下使能DHCP snooping  (由于2台路由器与交换机直连的接口未进行VLAN的分配,所以默认属于VLAN1)

[LSW1] vlan 1
[LSW1-vlan1] dhcp snooping enable

进入接口GE0/0/1,并将其设置为信任接口,从而使PC1 只能通过此接口获取DHCP服务器所分配的IP地址

[LSW1] int g0/0/1
[LSW1-vlan1] dhcp snooping enable

3. 实验验证

实验完成后可以先查看PC1获取到的IP地址,应该是192.168.1.0/24 网段的,然后再交换机上宕掉GE0/0/1,重新获取DHCP服务器的地址,此时尽管PC1与DHCPServer2连接,但是无法获取到DHCPServer2所分配的IP地址。然后重新连接GE0/0/1接口,PC1重新获取地址,成功向DHCPServer1请求到地址,试验成功

本文部分内容含有作者的个人观点和理解,若有错误还望指出,共同学习,共同进步

解决IP地址冲突的完美方法--DHCP SNOOPING 使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING功能。 例子: version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption service compress-config ! hostname C4-2_4506 ! enable password xxxxxxx! clock timezone GMT 8 ip subnet-zero no ip domain-lookup ! ip dhcp snooping vlan 180-181 // 对哪些VLAN 进行限制 ip dhcp snooping ip arp inspection vlan 180-181 ip arp inspection validate src-mac dst-mac ip errdisable recovery cause udld errdisable recovery cause bpduguard errdisable recovery cause security-violation errdisable recovery cause channel-misconfig errdisable recovery cause pagp-flap errdisable recovery cause dtp-flap errdisable recovery cause link-flap errdisable recovery cause l2ptguard errdisable recovery cause psecure-violation errdisable recovery cause gbic-invalid errdisable recovery cause dhcp-rate-limit errdisable recovery cause unicast-flood errdisable recovery cause vmps errdisable recovery cause arp-inspection errdisable recovery interval 30 spanning-tree extend system-id ! ! interface GigabitEthernet2/1 // 对该端口接入的用户进行限制,可以下联交换机 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/2 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/3 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/4 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 --More-- 编者注:对不需要明确地址的所有人的时候是一个很好的解决办法。另外,可以查看www.cisco.com的 IP Source Guard Similar to DHCP snooping, this feature is enabled on a DHCP snooping untrusted Layer 2 port. Initially, all IP traffic on the port is blocked except for DHCP packets that are captured by the DHCP snooping process. When a client receives a valid IP address from the DHCP server, or when a static IP source binding is configured by the user, a per-port and VLAN Access Control List (PACL) is installed on the port. This process restricts the client IP traffic to those source IP addresses configured in the binding; any IP traffic with a source IP address other than that in the IP source binding will be filtered out. This filtering limits a host's ability to attack the network by claiming neighbor host's IP address.
EnSP(Enterprise Network Security Platform)是一个企业级网络安全平台,它通常用于大型网络环境提供网络安全控制。DHCP Snooping是其的一项功能,它在DHCP(Dynamic Host Configuration Protocol)服务器上启用的一种安全机制。 DHCP Snooping主要用于防止未授权用户从非法设备获取IP地址,防止IP欺骗攻击。当DHCP Snooping开启后,交换机会对接收到的DHCP报文进行检查,只允许源自已知和信任的DHCP服务器的报文通过。以下是基本的DHCP Snooping配置步骤: 1. **启用DHCP Snooping**:在华为、Cisco等网络设备的命令行界面下,启用DHCP Snooping功能并为其分配一个全局VLAN ID。 ```bash [Huawei] dhcp snooping enable [Huawei] interface VLANif <vlan-id> [Huawei-VlanIf<vlan-id>] dhcp snooping enable ``` 2. **配置信任端口**:指定哪些接口作为信任接口,它们不会受到DHCP Snooping规则的限制。 ```bash [Huawei-VlanIf<interface-name>] dhcp snooping trusted interface ``` 3. **创建黑名单/白名单**:可以配置DHCP Snooping表来阻止或允许特定MAC地址或IP范围。 ```bash [Huawei-VlanIf<vlan-id>] dhcp snooping static-bind ip-address <ip> mac-address <mac> [Huawei-VlanIf<vlan-id>] dhcp snooping untrust-port-security enable ``` 4. **配置陷阱和日志**:设置违规操作后的响应策略,如发送告警信息,并记录事件日志便于审计。 5. **绑定终端和接口**:如果需要进一步精确控制,可以绑定具体的终端设备到接口上。 完成以上配置后,DHCP Snooping会在指定的VLAN内监控DHCP活动,保护网络免受恶意租户的影响。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值