88、交换机安全欺骗攻击配置实验之DHCP Snooping

1、DHCP Snooping解析

开启DHCP Snooping后,默认所有的端口都为untrusted接口。

untrusted接口:可以接收Discovery消息,但当收到Offer消息后,会直接Drop掉,不发任何DHCP消息。

trusted接口:收发任何dhcp消息。一般将上行端口和连接可信任DHCP服务器的端口设为trusted接口。

2、实验拓扑

3、基础配置

IOU3配置

no ip routing

ip dhcp pool pool3

network 3.3.3.0 255.255.255.0

interface Ethernet0/0

ip address 3.3.3.3 255.255.255.0

IOU4配置

no ip routing

ip dhcp pool pool4

network 4.4.4.0 255.255.255.0

interface Ethernet0/0

ip address 4.4.4.4 255.255.255.0

IOU5配置

interface Ethernet0/0

ip address dhcp

4、DHCP Snooping配置

IOU1配置

ip dhcp snooping vlan 1

ip dhcp snooping

interface Ethernet0/1

ip dhcp snooping trust

IOU3配置

ip dhcp relay information trust-all

IOU4配置

ip dhcp relay information trust-all

配置DHCP Snooping后,IOU5多次通过DHCP方式获取IP到的都是4.4.4.0这个网段的IP。

时间: 2024-10-30 22:28:14

88、交换机安全欺骗攻击配置实验之DHCP Snooping的相关文章

交换机防范欺骗攻击

恶意用户可能会发送伪造的信息,骗取交换机或主机将不可靠的机器作为网关.攻击者的目标是成为中间人,让无判断的用户将其作为路由器,向其发送分组,这样攻击者可以在将发送给他的分组正常转发前,收集其中的信息. 1)DHCP探测 假定攻击者在客户PC所在的子网的一台机器上运行伪造的DHCP服务器.当客户广播其DHCP请求时,伪造服务器将发送精心伪造的DHCP应答,将其IP地址作为默认网关. 客户收到应答后,将开始使用伪造的网关地址.前往子网外的分组将首先经过攻击者的机器.攻击者可能将分组转发到正确的目的地

85、交换机安全MAC层攻击配置实验之Port-Security

1.Port Security解析 触发Port Security的条件: 未授权的MAC地址 端口MAC地址数量超过了限制 触发Port Security后的动作: protect   Security violation protect mode        丢弃数据,不发送SNMP Trap消息 restrict  Security violation restrict mode       丢弃数据帧,发送SNMP Trap消息 shutdown  Security violation

Cisco PT模拟实验(5) 交换机的生成树协议配置

Cisco PT模拟实验(5) 交换机的生成树协议配置 实验目的: 理解生成树协议工作原理 掌握快速生成树协议RSTP的基本配置方法 实验背景:公司财务部和销售部的PC通过2台交换机实现通信,为提高网络可靠性,冗余链路是一个不错的思路,可防止因某条链路故障导致整个网络的中断,但冗余拓扑存在网络环路等一系列问题,为此需要在交换机上做适当配置. 技术原理: 生成树协议:监视二层交换式网络以找出所有可用的链路,并关闭冗余链路以确保不会出现环路. 首先利用生成树算法创建一个拓扑数据库,然后将网络的冗余备

Cisco PT模拟实验(5) 交换机的端口聚合配置

Cisco PT模拟实验(5)  交换机的端口聚合配置 实验目的: 理解端口聚合基本原理 掌握一般交换机端口聚合的配置方法 实验背景:公司财务部和销售部的PC通过2台交换机进行频繁通信,为提高链路之间的带宽,保证网络通信的可靠性:同时提供链路冗余,避免链路单点故障,从而影响关键节点的大面积断网,可考虑采用端口聚合技术来实现. 技术原理: 端口/链路聚合,是指把交换机上多个物理端口捆绑合成一个逻辑端口(称为Aggregate Port),这样在交换机之间形成一条拥有较大宽带的链路(ethercha

Cisco PT模拟实验(7) 交换机的端口安全配置

Cisco PT模拟实验(7) 交换机的端口安全配置 实验目的: 掌握交换机的端口安全功能,控制用户的安全接入 实验背景: 公司网络采用个人固定IP上网方案,为了防止公司内部用户IP地址借用.冒用,私自接入交换机等违规行为,同时防止公同内部的网络攻击和破坏行为,公司要求对网络进行严格的控制,为此需要在交换机做适当配置. 技术原理: 端口安全:可根据MAC地址来对网络流量的控制和管理,比如MAC地址与具体的端口绑定,限制具体端口通过的MAC地址的数量,或者在具体的端口不允许某些MAC地址的帧流量通

交换机以太通道的配置

实验名称:交换机以太通道的配置 实验拓扑: 实验步骤: (1)      分别给两个交换机划分vlan(以其中一个为例),另一个交换机做同样的配置 (2)      给两个交换机配置trunk链路(以其中一个为例),另一个交换机做同样的配置 (3)      将trunk链路的一个接口关闭,验证两个主机能否通信 交换机以太通道的配置

(五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)

试验拓扑 环境:dhcp server和dhcp客户端属于同vlan,但是客户端属于不同的交换机,在L2和L3交换机开启dhcp snooping后得出如下结论 L3交换机的配置 ip dhcp pool vlan27 network 172.28.27.0 255.255.255.0 default-router 172.28.27.254 dns-server 172.28.28.15 ! ! ip dhcp snooping vlan 27ip dhcp snooping informat

DHCP的基本介绍以及在HC3上配置DHCP中继和DHCP snooping

一.DHCP简介DHCP全称是 Dynamic Host Configuration Protocol﹐中文名为动态主机配置协议,它的前身是 BOOTP,它工作在OSI的应用层,是一种帮助计算机从指定的DHCP服务器获取它们的配置信息的自举协议.DHCP使用客户端/服务器模式,请求配置信息的计算机叫做DHCP客户端,而提供信息的叫做DHCP的服务器.DHCP为客户端分配地址的方法有三种:手工配置.自动配置.动态配置.DHCP最重要的功能就是动态分配.除了IP地址,DHCP分组还为客户端提供其他的

交换机的基本配置实验报告

实验目的 掌握交换机命令各行各种操作模式的区别,能够使用各种帮助信息,以及使用命令进行基本的配置. 实验设备 三层交换机一台 实验步骤 对命令进行了解,进入交换机的命令行界面,输入en的命令从用户模式进入特权模式,再输入conf t进入全局配置模式,然后可以进入接口配置模式,可以用end直接退到特权模式,也可以用exit一级级退.tab键可以补全命令,ctrl+z可以直接回到特权模式,如果需要将交换机的端口配置恢复到默认值,可以使用default命令.命令show version可以查看交换机的