14-DHCP Snooping //网上IOU
本文共 2311 字,大约阅读时间需要 7 分钟。
一、实验拓扑:
二、实验要求:默认情况下交换机启用了:DHCP Snooping,所有接口都会置位非信任接口untrust,对于非信任接口它只能接收:Discovery包和Request包,不能发送Offer包和ACK包。所以默认连接电脑的端口都变为untrunst端口,其它端口变为trust端口,包括服务提供IP地址的端口一定要变为trust端口。开启的话,第一个是总开关;第二个是某个VLAN的开关。实验一:1、PC1用路由器模拟,关闭路由功能,部署DHCP自动获取地址;2、R1是合法的DHCP服务器,网段为:100.1.1.X/24,部署DHCP协议;3、R2是非法的DHCP服务器,网段为:200.1.1.X/24,部署DHCP协议;4、交换机中间为Trunk中继链路,两端为:Access VLAN10,并部署端口加速;5、PC1接口下shutdown、no shutdown可以看到会随机获取到100、200网段的地址?6、SW1、SW2都开启DHCP Snooping检测,所有端口都变为了Untrust端口;7、SW1、SW2中继链路端口、SW1连接的合法DHCP端口变为信任端口;8、合法服务器R1端口上配置:ip dhcp relay information trusted,让其信任discovery添加的其他信息;因为:交换机一旦启用DHCP Snooping,PC发送的Discovery包,交换机会做一个小小的修改:把IP的选项值Options中82号增加了东西,所以R1上部署命令的目的:让其信任被更改过的报文。如果不部署,服务器不认识这种修改过的IP包,就会丢弃。9、查看R1未部署ip dhcp relay information trust-all,PC1是否可以获取到地址?10、查看PC1是否只能获取到R1合法DHCP服务器的地址?实验二:1、假如PC1也是一个×××,不停的消耗DHCP服务器的地址,很快就会将254个地址消耗空?2、解决方法一:限制Discovery包的发送速率,比如1分钟只能发送1个;3、解决方法二:绑定MAC、vlan、IP地址;4、验证:PC1 shutdown、no shutdown看分钟内地址是否会变?5、验证:PC1 shutdown no shutdown看IP地址是否会变,而且可以查看绑定的信息?实验三:1、源防护:比如有人知道该网段,他自己给PC设置了IP地址,这样的话网管做一些管理是做不了的;所以只要是PC自己手动敲IP地址的,就不允许其上网;2、模拟器可能实验不成功,试一下:在SW2交换机e0/1端口三、命令部署:实验一:SW1(config)#ip dhcp snoopingSW1(config)#ip dhcp snooping vlan 10SW2(config)#ip dhcp snooping //开启DHCP Snooping总开关,启用DHCP Snooping功能SW2(config)#ip dhcp snooping vlan 10 //基于某个VLAN开启 SW1(config)#int range e0/0 , e0/2
SW1(config-if-range)#ip dhcp snooping trustSW2(config)#int e0/0SW2(config-if)#ip dhcp snooping trustR1(config)#ip dhcp relay information trust-all
实验二:SW2(config-if)#ip dhcp snooping limit rate 1 //1分钟只能接收1个Discovery包或者:SW2(config)#ip source binding aabb.cc00.0510 vlan 10 100.1.1.5 interface e0/1实验三:
SW2(config)#int e0/1 SW2(config-if)#ip verify source port-security四、验证:
1、R1未部署ip dhcp relay information trust-all时,PC1获取不到地址:PC1#show ip int briInterface IP-Address OK? Method Status ProtocolEthernet0/0 unassigned YES DHCP up up 2、R1部署ip dhcp relay information trust-all后:May 25 08:17:49.140: %DHCP-6-ADDRESS_ASSIGN: Interface Ethernet0/0 assigned DHCP address 100.1.1.5, mask 255.255.255.0, hostname PC13、SW2的e0/1部署Discovery包发送速率后:PC1这时候多次shutdown、no shutdown,导致SW2的e0/1直接shutdown了,而且好像出错了,接口起不来了SW2(config-if)#May 25 08:24:38.336: %LINK-3-UPDOWN: Interface Ethernet0/1, changed state to down
转载于:https://blog.51cto.com/13856092/2137338
你可能感兴趣的文章
ActiveReports 报表应用教程 (6)---分组报表
查看>>
date
查看>>
ReflectUtil
查看>>
MySQL show processlist;命令详解
查看>>
TCP报文结构
查看>>
架构组织形式的讨论,以及架构师之路的建议
查看>>
详解JavaScript模块化开发
查看>>
C之有符号与无符号(二)
查看>>
DOCKER网络代理设置
查看>>
javascript基础语法——变量和标识符
查看>>
Java静态变量、非静态变量、成员变量、的区别
查看>>
数据库中有外键时JavaBean的写法
查看>>
linux-sed
查看>>
16.4-16.8 Tomcat监听80端口,Tomcat的虚拟主机,访问日志
查看>>
app客户端测试
查看>>
nodejs渐入佳境[23]-hash函数
查看>>
Big Data Integration with Hadoop: A Q&A Spotlig...
查看>>
【062有新题】OCP 12c 062出现大量之前没有的新考题-16
查看>>
触手TV下载|触手TVapp下载
查看>>
PDF文件如何修改,PDF怎么添加文本高亮
查看>>