14-DHCP Snooping //網上IOU
二、實驗要求:
默認情況下交換機啟用了:DHCP Snooping,所有接口都會置位非信任接口untrust,對於非信任接口它只能接收:Discovery包和Request包,不能發送Offer包和ACK包。
所以默認連接電腦的端口都變為untrunst端口,其它端口變為trust端口,包括服務提供IP地址的端口一定要變為trust端口。
開啟的話,第一個是總開關;第二個是某個VLAN的開關。
實驗一:
1、PC1用路由器模擬,關閉路由功能,部署DHCP自動獲取地址;
2、R1是合法的DHCP服務器,網段為:100.1.1.X/24,部署DHCP協議;
3、R2是非法的DHCP服務器,網段為:200.1.1.X/24,部署DHCP協議;
5、PC1接口下shutdown、no shutdown可以看到會隨機獲取到100、200網段的地址?
6、SW1、SW2都開啟DHCP Snooping檢測,所有端口都變為了Untrust端口;
7、SW1、SW2中繼鏈路端口、SW1連接的合法DHCP端口變為信任端口;
8、合法服務器R1端口上配置:ip dhcp relay information trusted,讓其信任discovery添加的其他信息;
因為:交換機一旦啟用DHCP Snooping,PC發送的Discovery包,交換機會做一個小小的修改:把IP的選項值Options中82號增加了東西,所以R1上部署命令的目的:讓其信任被更改過的報文。如果不部署,服務器不認識這種修改過的IP包,就會丟棄。
10、查看PC1是否只能獲取到R1合法DHCP服務器的地址?
實驗二:
1、假如PC1也是一個×××,不停的消耗DHCP服務器的地址,很快就會將254個地址消耗空?
2、解決方法一:限制Discovery包的發送速率,比如1分鐘只能發送1個;
3、解決方法二:綁定MAC、vlan、IP地址;
4、驗證:PC1 shutdown、no shutdown看分鐘內地址是否會變?
5、驗證:PC1 shutdown no shutdown看IP地址是否會變,而且可以查看綁定的信息?
實驗三:
1、源防護:比如有人知道該網段,他自己給PC設置了IP地址,這樣的話網管做一些管理是做不了的;
2、模擬器可能實驗不成功,試一下:在SW2交換機e0/1端口
三、命令部署:
實驗一:
SW1(config)#ip dhcp snooping
SW1(config)#ip dhcp snooping vlan 10
SW2(config)#ip dhcp snooping //開啟DHCP Snooping總開關,啟用DHCP Snooping功能
SW2(config)#ip dhcp snooping vlan 10 //基於某個VLAN開啟
SW1(config)#int range e0/0 , e0/2
SW1(config-if-range)#ip dhcp snooping trust
SW2(config)#int e0/0
SW2(config-if)#ip dhcp snooping trust
R1(config)#ip dhcp relay information trust-all
實驗二:
SW2(config-if)#ip dhcp snooping limit rate 1 //1分鐘只能接收1個Discovery包
或者:
SW2(config)#ip source binding aabb.cc00.0510 vlan 10 100.1.1.5 interface e0/1
實驗三:
SW2(config)#int e0/1
SW2(config-if)#ip verify source port-security
四、驗證:
1、R1未部署ip dhcp relay information trust-all時,PC1獲取不到地址:
PC1#show ip int bri
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 unassigned YES DHCP up up
2、R1部署ip dhcp relay information trust-all後:
May 25 08:17:49.140: %DHCP-6-ADDRESS_ASSIGN: Interface Ethernet0/0 assigned DHCP address 100.1.1.5, mask 255.255.255.0, hostname PC1
3、SW2的e0/1部署Discovery包發送速率後:
PC1這時候多次shutdown、no shutdown,導致SW2的e0/1直接shutdown了,而且好像出錯了,接口起不來了
SW2(config-if)#
May 25 08:24:38.336: %LINK-3-UPDOWN: Interface Ethernet0/1, changed state to down
14-DHCP Snooping //網上IOU