14-DHCP Snooping //网上IOU

一、实验拓扑:

二、实验要求:
默认情况下交换机启用了:DHCP Snooping,所有接口都会置位非信任接口untrust,对于非信任接口它只能接收:Discovery包和Request包,不能发送Offer包和ACK包。
所以默认连接电脑的端口都变为untrunst端口,其它端口变为trust端口,包括服务提供IP地址的端口一定要变为trust端口。
开启的话,第一个是总开关;第二个是某个VLAN的开关。
实验一:
1、PC1用路由器模拟,关闭路由功能,部署DHCP自动获取地址;
2、R1是合法的DHCP服务器,网段为:100.1.1.X/24,部署DHCP协议;
3、R2是非法的DHCP服务器,网段为:200.1.1.X/24,部署DHCP协议;
4、交换机中间为Trunk中继链路,两端为:Access VLAN10,并部署端口加速;
5、PC1接口下shutdown、no shutdown可以看到会随机获取到100、200网段的地址?
6、SW1、SW2都开启DHCP Snooping检测,所有端口都变为了Untrust端口;
7、SW1、SW2中继链路端口、SW1连接的合法DHCP端口变为信任端口;
8、合法服务器R1端口上配置:ip dhcp relay information trusted,让其信任discovery添加的其他信息;
因为:交换机一旦启用DHCP Snooping,PC发送的Discovery包,交换机会做一个小小的修改:把IP的选项值Options中82号增加了东西,所以R1上部署命令的目的:让其信任被更改过的报文。如果不部署,服务器不认识这种修改过的IP包,就会丢弃。
9、查看R1未部署ip dhcp relay information trust-all,PC1是否可以获取到地址?
10、查看PC1是否只能获取到R1合法DHCP服务器的地址?
实验二:
1、假如PC1也是一个×××,不停的消耗DHCP服务器的地址,很快就会将254个地址消耗空?
2、解决方法一:限制Discovery包的发送速率,比如1分钟只能发送1个;
3、解决方法二:绑定MAC、vlan、IP地址;
4、验证:PC1 shutdown、no shutdown看分钟内地址是否会变?
5、验证:PC1 shutdown no shutdown看IP地址是否会变,而且可以查看绑定的信息?
实验三:
1、源防护:比如有人知道该网段,他自己给PC设置了IP地址,这样的话网管做一些管理是做不了的;
所以只要是PC自己手动敲IP地址的,就不允许其上网;
2、模拟器可能实验不成功,试一下:在SW2交换机e0/1端口
三、命令部署:
实验一:
SW1(config)#ip dhcp snooping
SW1(config)#ip dhcp snooping vlan 10
SW2(config)#ip dhcp snooping //开启DHCP Snooping总开关,启用DHCP Snooping功能
SW2(config)#ip dhcp snooping vlan 10 //基于某个VLAN开启

SW1(config)#int range e0/0 , e0/2
SW1(config-if-range)#ip dhcp snooping trust
SW2(config)#int e0/0
SW2(config-if)#ip dhcp snooping trust

R1(config)#ip dhcp relay information trust-all
实验二:
SW2(config-if)#ip dhcp snooping limit rate 1 //1分钟只能接收1个Discovery包
或者:
SW2(config)#ip source binding aabb.cc00.0510 vlan 10 100.1.1.5 interface e0/1

实验三:
SW2(config)#int e0/1
SW2(config-if)#ip verify source port-security

四、验证:
1、R1未部署ip dhcp relay information trust-all时,PC1获取不到地址:
PC1#show ip int bri
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 unassigned YES DHCP up up
2、R1部署ip dhcp relay information trust-all后:
May 25 08:17:49.140: %DHCP-6-ADDRESS_ASSIGN: Interface Ethernet0/0 assigned DHCP address 100.1.1.5, mask 255.255.255.0, hostname PC1
3、SW2的e0/1部署Discovery包发送速率后:
PC1这时候多次shutdown、no shutdown,导致SW2的e0/1直接shutdown了,而且好像出错了,接口起不来了
SW2(config-if)#
May 25 08:24:38.336: %LINK-3-UPDOWN: Interface Ethernet0/1, changed state to down

原文地址:http://blog.51cto.com/13856092/2137338

时间: 2024-08-30 18:29:32

14-DHCP Snooping //网上IOU的相关文章

交换安全三宝(DHCP Snooping+IPSG+DAI)简单实验

1 实验拓扑图 2 DHCP Snooping 2.1 基本DHCP Snooping配置: C2960#show running-config Building configuration... ! ipdhcp snooping vlan 10 ipdhcp snooping ! interface FastEthernet0/1 description ---Connected to DHCP_Server --- switchportaccess vlan 10 switchport m

H3C S3100-SI系列交换机利用DHCP Snooping防止内网私自接入DHCPServer

H3C 3100 SI系列的交换机与其他高端系列相比,功能方面相对弱了很多,而DHCP Snooping 功能支持也有差异. 正常情况下,设备启用了DHCP Snooping之后,所有端口都属于不受信任端口,我们可以将直接或者间接连接至DHCPSnooping的端口通过 "dhcp-snooping trust"命令设置为信任端口,其他端口则默认属于不受信任端口,这样就可以通过dhcp ack和dhcp offer 包来屏蔽掉非法的dhcp server. 而3100 SI系列启用dh

企业网cisco交换机dhcp snooping和IP source guard禁止手动配置IP

网络拓扑结构: 场景介绍: 核心层: 各个vlan接口网关均在核心层汇聚层: 两台堆叠,port-channel 上联到核心层,port-channel 下联到接入层,不运行动态路由接入层: 两端口port-channel,分别链接至两台汇聚交换机 目的:通过dhcp snooping 防止内部企业网私自接入dhcp server:通过启用IP source guard防止内部用户私自手动配置ip地址. 接入层dhcp snooping 配置: 2F-NEW-ACC-SW-1(config)#i

DHCP的基本介绍以及在HC3上配置DHCP中继和DHCP snooping

一.DHCP简介DHCP全称是 Dynamic Host Configuration Protocol﹐中文名为动态主机配置协议,它的前身是 BOOTP,它工作在OSI的应用层,是一种帮助计算机从指定的DHCP服务器获取它们的配置信息的自举协议.DHCP使用客户端/服务器模式,请求配置信息的计算机叫做DHCP客户端,而提供信息的叫做DHCP的服务器.DHCP为客户端分配地址的方法有三种:手工配置.自动配置.动态配置.DHCP最重要的功能就是动态分配.除了IP地址,DHCP分组还为客户端提供其他的

DHCP snooping

DHCP snooping 技术介绍 DHCP监听(DHCP Snooping)是一种DHCP安全特性.Cisco交换机支持在每个VLAN基础上启用DHCP监听特性.通过这种特性,交换机能够拦截第二层VLAN域内的所有DHCP报文. 通过开启DHCP监听特性,交换机限制用户端口(非信任端口)只能够发送DHCP请求,丢弃来自用户端口的所有其它DHCP报文,例如DHCP Offer报文等.而且,并非所有来自用户端口的DHCP请求都被允许通过,交换机还会比较DHCP 请求报文的(报文头里的)源MAC地

h3c dhcp snooping

1. 组网需求Switch B通过以太网端口Ethernet1/1连接到DHCP服务器,通过以太网端口Ethernet1/2.Ethernet1/3连接到DHCP客户端.要求:l与DHCP服务器相连的端口可以转发DHCP服务器的响应报文,而其他端口不转发DHCP服务器的响应报文.l记录DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文中DHCP客户端IP地址及MAC地址的绑定关系. 配置步骤# 使能DHCP Snooping功能.<SwitchB> system-view[Swi

DHCP Snooping的实现

DHCP Snooping的实现 主要作用:1.防止在动态获得IP地址的网络环境中用户手动配置PC的IP地址;2.防止A用户的PC静态配置的IP地址顶掉B用户PC动态获得的IP地址的网络访问权;3.防止在动态获得IP地址的网络环境中,内网私自架设非法的DHCP服务器,导致内网合法用户得到没有访问网络能力的IP地址; 前提:在讲这个技术前,首先我们按理想中的网络结构划分,分为核心层.汇聚层.接入层:核心设备与汇聚设备之间启动了路由协议,汇聚成为它下连vlan的DHCP Server,接入层是纯2层

88、交换机安全欺骗攻击配置实验之DHCP Snooping

1.DHCP Snooping解析 开启DHCP Snooping后,默认所有的端口都为untrusted接口. untrusted接口:可以接收Discovery消息,但当收到Offer消息后,会直接Drop掉,不发任何DHCP消息. trusted接口:收发任何dhcp消息.一般将上行端口和连接可信任DHCP服务器的端口设为trusted接口. 2.实验拓扑 3.基础配置 IOU3配置 no ip routing ip dhcp pool pool3 network 3.3.3.0 255.

[Cisco] DHCP snooping 测试

测试环境:一台已经配置好DHCP的DHCP Server ,一台Cisco交换机(IOS版本:12.4),两台PC. 拓扑图为图:1-1. 测试目的:Cisco交换机开启dhcp snooping功能,默认的所有端口都为需要在DHCP Server和PC对应的端口设置 dhcp snooing trust. 图:1-1 测试步骤: 1. 在 switch上启用DHCP snooping ,将vlan 1加入到snooping,其他接口G0/1,F0/1,F0/2不做ip dhcp snoopin