2. 程式人生 > >14-DHCP Snooping //網上IOU

14-DHCP Snooping //網上IOU

阿新 發佈:2018-07-07
water for 發送 name mac 中繼鏈路 拓撲 9.png ted

一、實驗拓撲:
技術分享圖片
二、實驗要求:
默認情況下交換機啟用了:DHCP Snooping,所有接口都會置位非信任接口untrust,對於非信任接口它只能接收:Discovery包和Request包,不能發送Offer包和ACK包。
所以默認連接電腦的端口都變為untrunst端口,其它端口變為trust端口,包括服務提供IP地址的端口一定要變為trust端口。
開啟的話,第一個是總開關;第二個是某個VLAN的開關。
實驗一:
1、PC1用路由器模擬,關閉路由功能,部署DHCP自動獲取地址;
2、R1是合法的DHCP服務器,網段為:100.1.1.X/24,部署DHCP協議;
3、R2是非法的DHCP服務器,網段為:200.1.1.X/24,部署DHCP協議;
4、交換機中間為Trunk中繼鏈路,兩端為:Access VLAN10,並部署端口加速;
5、PC1接口下shutdown、no shutdown可以看到會隨機獲取到100、200網段的地址?
6、SW1、SW2都開啟DHCP Snooping檢測,所有端口都變為了Untrust端口;
7、SW1、SW2中繼鏈路端口、SW1連接的合法DHCP端口變為信任端口;
8、合法服務器R1端口上配置:ip dhcp relay information trusted,讓其信任discovery添加的其他信息;
因為:交換機一旦啟用DHCP Snooping,PC發送的Discovery包,交換機會做一個小小的修改:把IP的選項值Options中82號增加了東西,所以R1上部署命令的目的:讓其信任被更改過的報文。如果不部署,服務器不認識這種修改過的IP包,就會丟棄。
9、查看R1未部署ip dhcp relay information trust-all,PC1是否可以獲取到地址?
10、查看PC1是否只能獲取到R1合法DHCP服務器的地址?
實驗二:
1、假如PC1也是一個×××,不停的消耗DHCP服務器的地址,很快就會將254個地址消耗空?
2、解決方法一:限制Discovery包的發送速率,比如1分鐘只能發送1個;
3、解決方法二:綁定MAC、vlan、IP地址;
4、驗證:PC1 shutdown、no shutdown看分鐘內地址是否會變?
5、驗證:PC1 shutdown no shutdown看IP地址是否會變,而且可以查看綁定的信息?
實驗三:
1、源防護:比如有人知道該網段,他自己給PC設置了IP地址,這樣的話網管做一些管理是做不了的;
所以只要是PC自己手動敲IP地址的,就不允許其上網;
2、模擬器可能實驗不成功,試一下:在SW2交換機e0/1端口
三、命令部署:
實驗一:
SW1(config)#ip dhcp snooping
SW1(config)#ip dhcp snooping vlan 10
SW2(config)#ip dhcp snooping //開啟DHCP Snooping總開關,啟用DHCP Snooping功能
SW2(config)#ip dhcp snooping vlan 10 //基於某個VLAN開啟

SW1(config)#int range e0/0 , e0/2
SW1(config-if-range)#ip dhcp snooping trust
SW2(config)#int e0/0
SW2(config-if)#ip dhcp snooping trust

R1(config)#ip dhcp relay information trust-all
實驗二:
SW2(config-if)#ip dhcp snooping limit rate 1 //1分鐘只能接收1個Discovery包
或者:
SW2(config)#ip source binding aabb.cc00.0510 vlan 10 100.1.1.5 interface e0/1

實驗三:
SW2(config)#int e0/1
SW2(config-if)#ip verify source port-security

四、驗證:
1、R1未部署ip dhcp relay information trust-all時,PC1獲取不到地址:
PC1#show ip int bri
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 unassigned YES DHCP up up
2、R1部署ip dhcp relay information trust-all後:
May 25 08:17:49.140: %DHCP-6-ADDRESS_ASSIGN: Interface Ethernet0/0 assigned DHCP address 100.1.1.5, mask 255.255.255.0, hostname PC1
3、SW2的e0/1部署Discovery包發送速率後:
PC1這時候多次shutdown、no shutdown,導致SW2的e0/1直接shutdown了,而且好像出錯了,接口起不來了
SW2(config-if)#
May 25 08:24:38.336: %LINK-3-UPDOWN: Interface Ethernet0/1, changed state to down
技術分享圖片

14-DHCP Snooping //網上IOU

相關推薦

14-DHCP Snooping //網上IOU

water for 發送 name mac 中繼鏈路 拓撲 9.png ted 一、實驗拓撲:二、實驗要求:默認情況下交換機啟用了:DHCP Snooping,所有接口都會置位非信任接口untrust,對於非信任接口它只能接收:Discovery包和Request包,不能發

H3C S3100-SI系列交換機利用DHCP Snooping防止內網私自接入DHCPServer

dhcp snoopingH3C 3100 SI系列的交換機與其他高端系列相比,功能方面相對弱了很多,而DHCP Snooping 功能支持也有差異。 正常情況下,設備啟用了DHCP Snooping之後,所有端口都屬於不受信任端口,我們可以將直接或者間接連接至DHCPSnooping的端口通過 "

DHCP Snooping

網絡、交換機、DHCPDHCP Snooping DHCP被用於動態地址分發,極大的降低了終端接入網絡的簡易性,但是協議本身沒有任何的安全保護機制,非常容易被針對攻擊。同一廣播域中一旦出現虛假DHCP Server,終端獲取的地址將極有可能是虛假DHCP Server推送的IP地址,導致廣播域中很大一部分終端

13-MAC ACL實驗 //網上IOU

圖片 技術分享 ima mage http cto oss acc -o 一、實驗拓撲:二、實驗要求:1、未部署MAC ACL前,PC1可以Ping通PC2;2、SW1的e0/0口部署MAC ACL,重啟所有拓撲設備;3、驗證:查看PC1是否仍然可以Ping通PC2![]三

Cisco DHCP snooping

啟動 The ping 用戶 add roo 靜態 大量 time DHCP snooping 一、***原理:DHCP Sproofing同樣是一種中間人***方式。DHCP是提供IP地址分配的服務。當局域網中的計算機設置為自動獲取IP,就會在啟動後發送廣播包請求IP地

DHCPDHCP SnoopingDHCP relay工作原理入門及實踐

序:DHCP服務相對簡單,寫本文的目的是為了講一些DHCP安全方面的技術。 1、DHCP基礎 DHCP 全稱動態主機配置協議(Dynamic Host Configuration Protocol),用於給終端裝置如PC、IPad、手機等自動分配IP地址。工作過程簡潔高效,易於掌握,首先借著一張圖介紹DH

22.內網安全部署之DHCP Snooping+DAI+IPSG 防止惡意DHCP與IP衝突等

拓撲 拓撲可以儲存到本地,然後擴大檢視,這樣才能看的更清楚。(拖動到新視窗開啟即可) 實現控制只能獲取企業內部合法的DHCP服務分配的地址,而其餘的DHCP伺服器則不能通過。 說明:為什麼需要該技術呢,因為DHCP的工作原理是最先響應的伺服器,PC就獲取該伺服器分配

有關思科dhcp snooping的測試總結

DHCP snooping作為DAI和IP Sourceguard特性的基礎元件,做好配置顯得尤為重要。下面總結一下此特性及部署注意事項:1.開啟dhcp snooping的交換機,預設都會給所有非信任介面發來的DHCP請求報文新增option 82(中繼擴充套件資訊)然後傳

開啟Cisco交換機DHCP Snooping功能(1)

一、採用DHCP服務的常見問題架設DHCP伺服器可以為客戶端自動分配IP地址、掩碼、預設閘道器、DNS伺服器等網路引數,簡化了 網路配置,提高了管理效率。但在DHCP服務的管理上存在一些問題,常見的有: ●DHCP Server的冒充 ●DHCP Server的DOS攻

DHCP-snooping的原理、配置、案例

DHCP監聽被開啟後,交換機限制使用者埠(非信任埠)只能夠傳送DHCP請求,丟棄來自使用者埠的所有其它DHCP報文。DHCP-snooping還有一個非常重要的作用就是建立一張DHCP監聽繫結表,既然DHCP-snooping這麼重要,那麼讓我們來看看他是怎麼樣配置的!

【SSH網上商城專案實戰14】商城首頁UI的設計

  轉自:https://blog.csdn.net/eson_15/article/details/51373403 前面我們利用EasyUI和SSH搭建好了後臺的基本框架,做好了後臺的基本功能,包括對商品類別的管理和商品的管理等,這一節我們開始搭建前臺頁面。 做首頁的思

HTML學習筆記-網上書城案例 AND 2018-11-14(22:14

小夥伴們,又見啦! 一、HTML 網上書城案例 1.頁頭 實現程式碼: <div> <table> <tr> <td><img src="圖片路徑" height="50" width="100" /><

第十五節課:第14,15章,dhcp服務和郵件系統

(借鑑請改動) 13章收尾 13.6、分離解析技術         1、在主配置檔案中改兩個any         2、編輯區域配置檔案,寫入acl,使用match匹配     &nbs

Ubuntu 14.04 isc-dhcp-server 啟動失敗(no IPv4 addresses)問題解決方法

筆記本上插入了一個usb網絡卡,該網絡卡被識別為wlan2。現在我想建立一個無線區域網,該無線區域網的地址範圍是192.168.1.3~192.168.1.254。 1. sudo apt-get install isc-dhcp-server 2. 安裝isc-dhcp

12306大量使用者資料網上瘋傳涉及14萬賬號密碼

12月25日訊息,據烏雲漏洞平臺曝光,大量12306使用者資料在網際網路瘋傳,包括使用者賬號、明文密碼、身份證、郵箱等敏感資訊,目前尚不清楚這些資料是從何途徑洩露的。   據名為“追尋”的白帽子披露,這批12306資料先是在網上售賣,目前已變成公開傳播,連他自己的敏感資

H3C模擬器 DHCP Snooping 、中繼 實例配置

src 屬於 eba 不同網段 動態綁定 image cto term 路由器 1.DHCP 實例配置 ## 配置步驟(在路由器上配置) ### (1) # 配置接口的 IP 地址。 <H3C> system-view [H3C] interface g 0

hcl DHCPsnooping的實踐操作 中有個問題

dhcp中繼 shadow 配置 fde image process http sco 分享 配置路由 配置網池 配靜態路由在交換機1上配置vlan 把接口添加到vlan並設置access口 配置ip配置DHCP中繼在 交換機2上開啟Snooping(為什

JavaWeb網上圖書商城完整項目--day02-4.regist頁面提交表單時對所有輸入框進行校驗

word except 繼承 stub jstl use cti bmi imp 1、現在我們要將table表中的輸入的參數全部提交到後臺進行校驗,我們提交我們是按照表單的形式提交,所以我們首先需要在table表外面添加一個表單 <%@ page lang

企業雲桌面-14-將vCenter 6.5證書導入-受信任人-企業

雲桌面 雲計算 vsphere esxi vsan 作者:學 無 止 境QQ交流群:454544014註意:《企業雲桌面》系列博文是《企業雲桌面規劃、部署與運維實踐指南》的基礎部分,因為書中內容涉及非常多,非常全面,所以基礎部分將以博文的形式給讀者展現,將在書中引用。《企業雲桌面規劃、部署

企業雲桌面-15-部署DHCP服務器-011-DC01

雲桌面 雲計算 vsphere esxi vsan 作者:學 無 止 境QQ交流群:454544014註意:《企業雲桌面》系列博文是《企業雲桌面規劃、部署與運維實踐指南》的基礎部分,因為書中內容涉及非常多,非常全面,所以基礎部分將以博文的形式給讀者展現,將在書中引用。《企業雲桌面規劃、部