DHCP中继
1.實驗要求:我們將圍繞下面這5個知識點展開我們這次實驗
1)dhcp中繼
2)ssh配置(R1遠程登陸R4)
3)端口安全
? ? ?DHCP snooping
4)端口隔離
5)端口鏡像 SPAN
2.實驗拓撲:
3.實施
? ?3.1R1-R4所有節點均擁有合理IP地址(R5只配IP,SW1暫時不配)
?sysname R1
#
interface GigabitEthernet0/0/0
?ip address 12.1.1.1 255.255.255.0?
#
interface GigabitEthernet0/0/1
?ip address 192.168.1.1 255.255.255.0?
?sysname R2
#
interface GigabitEthernet0/0/0
?ip address 23.1.1.1 255.255.255.0?
#
interface GigabitEthernet0/0/1
?ip address 12.1.1.2 255.255.255.0?
?sysname R3
#
interface GigabitEthernet0/0/0
?ip address 34.1.1.1 255.255.255.0?
#
interface GigabitEthernet0/0/1
?ip address 23.1.1.2 255.255.255.0?
sysname R4
#
interface GigabitEthernet0/0/1
?ip address 34.1.1.2 255.255.255.0?
?ip address 4.4.4.4 255.255.255.0?
sysname R5
#
interface GigabitEthernet0/0/0
?ip address 192.168.2.1 255.255.255.0?
3.2R1-R4起動態協議(ospf)
R1
ospf 1 ?router-id 1.1.1.1
?silent-interface GigabitEthernet0/0/1
?area 0.0.0.0?
? network 12.1.1.1 0.0.0.0?
? network 192.168.1.1 0.0.0.0?
R2
ospf 1 router-id 2.2.2.2?
?area 0.0.0.0?
? network 12.1.1.2 0.0.0.0?
? network 23.1.1.1 0.0.0.0?
R3
ospf 1 router-id 3.3.3.3?
?area 0.0.0.0?
? network 23.1.1.2 0.0.0.0?
? network 34.1.1.1 0.0.0.0?
R4
ospf 1 router-id 4.4.4.4?
?area 0.0.0.0?
? network 34.1.1.2 0.0.0.0?
? network 4.4.4.4 0.0.0.0?
#地址池
ip pool DHCP
?gateway-list 192.168.1.1?
?network 192.168.1.0 mask 255.255.255.0?
?dns-list 61.134.1.4?
#
interface GigabitEthernet0/0/1
?dhcp select global
# SSH配置
?local-user caorui password cipher123456
?local-user caorui privilege level 15
?local-user caorui service-type ssh
#
user-interface vty 0 4
?authentication-mode aaa
?protocol inbound ssh
R1
interface GigabitEthernet0/0/1
?dhcp select relay
?dhcp relay server-ip 34.1.1.2
#?華為的設備作為終端設備首次使用,需要開啟SSH
ssh client first-time enable?
3.3測試(DHCP中繼和SSH)
由上圖可知我們的DHCP中繼和SSH配置沒有問題
*DHCP中繼點所在的網段和R4所在網段能通,不然DHCP中繼不會成功,本實驗是跑了一個ospf動態路由協議,在R1上已經把192.168.1.0/24網段宣告進ospf里,所以在上面是R1-R4全網可達!
3.4DHCPsnooping配置
R5
#
ip pool R5DHCP
?gateway-list 192.168.2.1?
?network 192.168.2.0 mask 255.255.255.0?
?dns-list 114.114.114.114
#
interface GigabitEthernet0/0/0
?dhcp select global
SW1 端口鏡像
#
observe-port 1 interface GigabitEthernet0/0/2 ? ?監控端口
#
interface GigabitEthernet0/0/1 ? ? ? ? ? ? ? ? ? ? ? ? ? ?流量抓取端口
?port-mirroring to observe-port 1 inbound
?port-mirroring to observe-port 1 outbound
#
interface GigabitEthernet0/0/24 ? ? ? ? ? ? ? ? ? ? ? ? ?流量抓取端口
?port-mirroring to observe-port 1 inbound
?port-mirroring to observe-port 1 outbound
?
上述配置是讓大家從數據包的角度了解終端獲取地址的全過程,下面我們抓包看一下
當我在終端上ipconfig /release終端向原來獲取成功地址的設備發了一個DHCP release包,
告訴網關和其他設備,這個IP已經釋放,下面請看圖:
?上面這張圖是我把R5配置好以后抓包的圖片,二層里面的目標MAC地址是R5?Destination: HuaweiTe_db:48:21 (00:e0:fc:db:48:21)? ? 源?MAC是PC1的MAC? Source: HuaweiTe_41:3b:5a (54:89:98:41:3b:5a)? ?三層里面源Source: 0.0.0.0 目標Destination: 255.255.255.255? 也就是說PC1的現在沒有地址,我在PC1上ipconfig? /nenew 接著請看下面我抓包的圖片:
?由上圖可知:此局域網內有兩臺DHCP服務器在分配IP,而且是R5先回復了PC1 DHCP office和DHCP ack,由于R5先到所以終端PC就獲取到了由R5分配的IP地址,在PC1獲取地址成功以后發了三個ARP包,我打開了最上面的一個
這種ARP是無故ARP(免費ARP),目的是檢測網絡中其他設備有沒有使用該IP地址
由上面我們知道如果獲取到R5的地址是上不了互聯網(R4模擬的連接外網的設備)下面我們開始配置DHCPsnooping:
SW1?
[SW1]dhcp enable ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?全局模式開啟DHCP
[SW1]dhcp snooping enable ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 全局模式開啟DHCP snooping
[SW1-GigabitEthernet0/0/1]dhcp snooping trusted ? ? 信任端口
[SW1-GigabitEthernet0/0/24]dhcp snooping enable ? ?非信任端口
[SW1-GigabitEthernet0/0/4]dhcp snooping enable ? ? ?非信任端口
[SW1-GigabitEthernet0/0/2]dhcp snooping enable ? ? ?非信任端口
開啟以后我們驗證一下:
?
這次才獲取到了由R4DHCPserver分配的地址?,其實實現這個的原理就是非信任端口不能發送DHCP office和DHCP ack包,DHCP工作原理下面在做DHCPsnooping配置時,里面有我抓的包,可以參考,不在這里冗述
華為服務器均使用單播進行回復,cisco或微軟基于廣播進行回復;華為的單播使用準備給客戶端的ip地址來作為單播回復時的目標ip地址,主要還是基于MAC地址進行回復;
接下來我們來做一下端口安全:
每個端口最多讓綁定10個MAC地址(防止MAC地址攻擊)
interface GigabitEthernet0/0/2 ?
?port-security enable ? ? ? ? ? ? ? ? ? ? 開啟端口安全
?port-security max-mac-num 10 ? ?現在MAC地址數量
?port-security aging-time 300 ? ? ? ?老化時間
每個端口只綁定一個固定的MAC地址
[SW-Gthernet0/0/4]port-security mac-address sticky? 54-89-98-47-72-D1? vlan 1
這種是手寫綁定一個MAC地址
3.5端口隔離:
SW1
interface GigabitEthernet0/0/4
?port-isolate enable group 1 ? ? ??
interface GigabitEthernet0/0/2
?port-isolate enable group 1 ? ? ? 相同配置間接口被隔離
3.6端口隔離測試
?
由上圖可知:PC1ping不通PC5 ,實現了隔離;上面基于端口隔離的效果華為hybrid也可以實現這樣的效果。
總結
- 上一篇: ubuntu系统dhcp服务器,ubun
- 下一篇: 聚观早报 | 恒大汽车或将被并购;比亚迪