路由器DHCP保护-(DHCP保护)

192.168.1.1 次浏览手机阅读
无线路由器DHCP维护 (DHCP维护) 一、应用领域

企业当中的IP地址选用DHCP服务器下发,避免在互联网里出现别的不合法的DHCP服务器下发IP地址,进而保障网络安全,必须配置DHCP Snooping对策。

二、试验拓扑结构

实验操作中AR1为合法合规DHCP服务器,AR2为不合法的DHCP服务器。DHCP服务项目配置基本一致,区别是合理的DHCP服务器配置的dns是8.8.8.8,不合法的DHCP服务器配置的dns是4.4.4.4。

三、IP整体规划

四、配置思路

五、配置全过程5.1、基本配置,划分vlan及添加端口号5.1.1、在网络交换机SW1上配置5.1.1.1、划分vlan10 20

<Huawei>sys

[Huawei]sys SW1

[SW1]vlan batch 10 20

5.1.1.2、把对应的1口和2口区划到vlan10,3口区划到20

[SW1]int g0/0/1

[SW1-GigabitEthernet0/0/1]port link-type access

[SW1-GigabitEthernet0/0/1]port default vlan 10

[SW1]int g0/0/2

[SW1-GigabitEthernet0/0/2]port link-type access

[SW1-GigabitEthernet0/0/2]port default vlan 10

[SW1]int g0/0/3

[SW1-GigabitEthernet0/0/3]port link-type access

[SW1-GigabitEthernet0/0/3]port default vlan 20

5.1.1.3、配置vlan10和vlan20的三层虚似插口vlanif的详细地址,做为相匹配vlan的网关地址

[SW1]int vlan 10

[SW1-Vlanif10]ip addr 192.168.10.254 24

[SW1-Vlanif10]int vlan 20

[SW1-Vlanif20]ip address 10.10.1.2 24

5.1.1.4、查询配置

查看vlan及端口号

[SW1]dis port vlan active

查询三层虚似接口地址

[SW1]dis ip int brief

5.1.2、在合理合法无线路由器AR1上配置5.1.2.1、配置与网络交换机连接的插口IP地址

<Huawei>sys

[Huawei]sys AR1

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]ip address 10.10.1.1 24

5.1.3在不合法的无线路由器AR2上配置5.1.3.1、配置插口IP地址为192.168.10.2 24

<Huawei>sys

[Huawei]sys AR2

[AR2]int g0/0/2

[AR2-GigabitEthernet0/0/2]ip address 192.168.10.2 24

5.1.4检测直联路由器

合理合法无线路由器AR1到三层交换机vlan20的网关ipvlanif 20

<AR1>ping 10.10.1.2

违法无线路由器AR2到三层交换机vlan10的网关ipvlanif 10

<AR2>ping 192.168.10.254

5.2、配置静态路由,使最底层链接互通5.2.1在合理合法无线路由器AR1上配置5.2.1.1、配置一条静态路由,到192.168.10.0子网。下一跳是vlan10的网关地址

[AR1]ip route-static 192.168.10.0 24 10.10.1.2

5.2.2查询AR1的默认路由

<AR1>dis ip routing-table

由图中悉知,在AR1上面有抵达网络交换机vlan10所属的子网192.168.10.0/24的静态路由。

5.2.3、在网络交换机SW1上查询默认路由

<SW1>dis ip routing-table

由图中悉知,在SW1上面有抵达无线路由器AR1所属10.10.1.0/24子网的直联路由器。

因此由上边的2个默认路由(无线路由器AR1和网络交换机SW1)悉知,如今PC1配置一个静态IP详细地址192.168.1.3/24能够ping通无线路由器AR1的10.10.1.1/24详细地址

PC>ping 10.10.1.1

5.2.4、查询违法DHCP无线路由器AR2的默认路由

<AR2>dis ip routing-table

由图中悉知,在AR2中没有抵达AR1子网10.10.1.0/24的路由器,必须创建一条抵达AR1里的缺省路由,下一跳为vlan10的虚似插口vlanif的详细地址10.10.1.254,那也是企业当中私拉乱建配置无线路由器常见恰当方式。

5.2.5、在AR2上配置缺省路由

[AR2]ip route-static 0.0.0.0 0.0.0.0 192.168.10.254

5.2.6、查询AR2的默认路由

这时再检测AR2到AR1的链接

[AR2]ping 10.10.1.1

这时各大网站链接的最底层早已跑通。

5.3、配置DHCP5.3.1、在无线路由器AR1上配置5.3.1.1、配置DHCP服务项目

[AR1]dhcp en

[AR1]ip pool vlan10

[AR1-ip-pool-vlan10]network 192.168.10.0 mask 24

[AR1-ip-pool-vlan10]gateway-list 192.168.10.254

[AR1-ip-pool-vlan10]dns-list 8.8.8.8

5.3.1.2、在无线路由器与交换机连接的插口上打开全局性dhcp模式

dhcp select global,含意启用一个全局模式下创建的地址池(ip pool) 网关ip。

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]dhcp select global

5.3.2 在网络交换机上配置5.3.2.1在网络交换机上打开dhcp代理作用

[SW1]dhcp enable

5.3.2.2在网络交换机上vlan10的虚似插口vlanif 10上配置代理商

[SW1]int vlan 10

[SW1-Vlanif10]dhcp select relay

[SW1-Vlanif10]dhcp relay server-ip 10.10.1.1

5.3.3检测

这时PC1能通过DHCP正常的得到AR1下发的IP地址

到此,DHCP服务器构建结束。

下边有些人在企业当中构建了不合法的DHCP服务器AR2.

5.4、在AR2上都配置同样的DHCP5.4.1这一配置和AR1配置不同类型的是dns,来区别是哪一个DHCP服务器

[AR2]dhcp enable

[AR2]ip pool vlan10

[AR2-ip-pool-vlan10]gateway-list 192.168.10.254

[AR2-ip-pool-vlan10]network 192.168.10.0 mask 255.255.255.0

[AR2-ip-pool-vlan10]dns-list 4.4.4.4

5.4.2、在无线路由器与交换机连接的插口上打开全局性dhcp模式

dhcp select global,含意启用一个全局模式下创建的地址池(ip pool) 网关ip。

[AR2-ip-pool-vlan10]int g0/0/2

[AR2-GigabitEthernet0/0/2]dhcp select global

5.5、检测得到IP地址5.5.1、PC1打开DHCP得到IP地址作用

如今其应当在同一vlan(vlan10)里的DHCP服务器得到Ip,也就是从AR2中取得,因其间距PC1近,因此回应的高效。

由图中悉知,dns是4.4.4.4是违法DHCP服务器AR2给予地址。

5.5.2、在网络交换机全局模式下打开dhcp snooping 作用

[SW1]dhcp snooping enable

[SW1]dhcp snooping enable vlan 10

5.6、认证

在PC1上先消除DHCP得到地址

PC>ipconfig /release

重新得到

PC>ipconfig /renew

由图中悉知,PC1所获得的DNS地址是8.8.8.8,这是合理的DHCP服务器的DNS详细地址,因此PC1是以合法合规DHCP服务器AR1上所获得的IP地址。

六、提议

实际应用中,建议大家在客户连接层交换机上边布署DHCP Snooping作用,越接近PC端口操纵越精确。而每一个网络交换机的端口号强烈推荐只联接一台PC,不然假如网络交换机某端口号下串连一个Hub,在Hub上连接着多个PC得话,那如果赶巧该Hub下发生DHCP出轨,因为出轨报文格式都是在Hub端口间立即转发了,未受连接层交换机的DHCP Snooping作用控制,这种出轨就难以避免了。

因此网络里,除开技术性安全防护,还要相互配合管理方案的安全防护,才可以最大程度确保网络安全。

喜欢 ()