“配置DHCP Snooping实验：保护网络中的DHCP服务和防止欺骗攻击“-Toy模板网

这篇具有很好参考价值的文章主要介绍了“配置DHCP Snooping实验：保护网络中的DHCP服务和防止欺骗攻击“。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

"配置DHCP Snooping实验：保护网络中的DHCP服务和防止欺骗攻击"

【实验目的】

部署DHCP服务器。
熟悉DHCP Snooping的配置方法。
验证拓扑。

【实验拓扑】

实验拓扑如图所示。

“配置DHCP Snooping实验：保护网络中的DHCP服务和防止欺骗攻击“

设备参数如下表所示。

设备	接口	IP地址	子网掩码	默认网关
R1	F0/0	192.168.10.1	255.255.255.0	N/A
R2	F0/0	192.168.20.1	255.255.255.0	N/A

【实验内容】

配置基础配置

R1的基本配置

Router>enable

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#hostname R1

R1(config)#interface f0/0

R1(config-if)#ip address 192.168.10.1 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#exit

R1(config)#

R1(config)#ip dhcp pool dhcp1

R1(dhcp-config)#network 192.168.10.0 255.255.255.0

R1(dhcp-config)#default-router 192.168.10.1

R1(dhcp-config)#dns-server 8.8.8.8

R1(dhcp-config)#domain-name cisco.com

R1(dhcp-config)#

R2的基本配置

Router>enable

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#hostname R2

R2(config)#interface f0/0

R2(config-if)#ip address 192.168.20.1 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#exit

R2(config)#

R2(config)#ip dhcp pool dhcp2

R2(dhcp-config)#network 192.168.20.0 255.255.255.0

R2(dhcp-config)#default-router 192.168.20.1

R2(dhcp-config)#dns-server 8.8.8.8

PC1测试DHCP服务器

R1作为DHCP服务器提供地址情况

“配置DHCP Snooping实验：保护网络中的DHCP服务和防止欺骗攻击“

//PC1可以获取R1提供的IP地址

R2作为DHCP服务器提供地址情况

“配置DHCP Snooping实验：保护网络中的DHCP服务和防止欺骗攻击“

//PC1可以获取R2提供的IP地址

配置DHCP Snooping

接入层交换机S1启用DHCP Snooping：

Switch>en

Switch#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#hostname S1

S1(config)#ip dhcp snooping

//打开S1的DHCP监听功能

S1(config)#ip dhcp snooping vlan 1

S1(config)#no ip dhcp snooping information option

//禁止交换机S1在DHCP报文中插入option 82，option82是DHCP中继代理

S1(config)#interface f0/1

S1(config-if)#switchport mode access

S1(config-if)#ip dhcp snooping trust

//配置DHCP Snooping，设置Fa0/1为信任端口，R1为合法DHCP服务器

PC1获取IP地址测试

“配置DHCP Snooping实验：保护网络中的DHCP服务和防止欺骗攻击“

查看DHCP服务器R1信息

查看DHCP监听信息

S1#show ip dhcp snooping

Switch DHCP snooping is enabled

DHCP snooping is configured on following VLANs:

1

//DHCP配置监听的VLAN

Insertion of option 82 is disabled

Option 82 on untrusted port is not allowed

Verification of hwaddr field is enabled

Interface Trusted Rate limit (pps)

----------------------- ------- ----------------

FastEthernet0/1 yes unlimited

//F0/1是信任接口，接口的DHCP报文无数量限制

FastEthernet0/2 no unlimited

FastEthernet0/3 no unlimited

S1#

查看DHCP snooping的绑定信息

S1#show ip dhcp snooping binding

MacAddress IpAddress Lease(sec) Type VLAN Interface

------------------ --------------- ---------- ------------- ---- -----------------

00:30:F2:85:D4:ED 192.168.10.4 86400 dhcp-snooping 1 FastEthernet0/3

Total number of bindings: 1

S1#

以上输出的各字段含义如下：

MacAddress：DHCP客户端的MAC地址。

IpAddress ：DHCP客户端的IP地址。

Lease(sec) ：IP地址的租约时间。

Type ：记录类型，dhcp-snooping说明是动态生成的记录。

VLAN：VLAN的编号。

Interface：接入接口。

【实验知识点】

这个实验涉及以下知识：

DHCP（Dynamic Host Configuration Protocol）：了解和配置DHCP服务器的概念、功能和操作方法，包括设置IP地址范围、默认网关、DNS服务器、租约时间等参数。

DHCP Snooping：理解DHCP Snooping的概念和作用，它是一种网络安全机制，用于检测和阻止非法DHCP服务器和DHCP消息的欺骗攻击。了解DHCP Snooping的配置方法和相关命令，包括启用DHCP Snooping、指定监听的VLAN、信任端口的设置以及禁止插入option 82等。