1.實驗要求：我們將圍繞下面這5個知識點展開我們這次實驗

1）dhcp中繼
2）ssh配置（R1遠程登陸R4）
3）端口安全
? ? ?DHCP snooping
4）端口隔離
5）端口鏡像 SPAN

2.實驗拓撲：

3.實施

? ?3.1R1-R4所有節點均擁有合理IP地址(R5只配IP，SW1暫時不配）

?sysname R1
#
interface GigabitEthernet0/0/0
?ip address 12.1.1.1 255.255.255.0?
#
interface GigabitEthernet0/0/1
?ip address 192.168.1.1 255.255.255.0?

?sysname R2
#
interface GigabitEthernet0/0/0
?ip address 23.1.1.1 255.255.255.0?
#
interface GigabitEthernet0/0/1
?ip address 12.1.1.2 255.255.255.0?

?sysname R3
#
interface GigabitEthernet0/0/0
?ip address 34.1.1.1 255.255.255.0?
#
interface GigabitEthernet0/0/1
?ip address 23.1.1.2 255.255.255.0?

sysname R4
#
interface GigabitEthernet0/0/1
?ip address 34.1.1.2 255.255.255.0?

?ip address 4.4.4.4 255.255.255.0?

sysname R5
#
interface GigabitEthernet0/0/0
?ip address 192.168.2.1 255.255.255.0?

3.2R1-R4起動態協議（ospf）

R1
ospf 1 ?router-id 1.1.1.1
?silent-interface GigabitEthernet0/0/1
?area 0.0.0.0?
? network 12.1.1.1 0.0.0.0?
? network 192.168.1.1 0.0.0.0?

R2
ospf 1 router-id 2.2.2.2?
?area 0.0.0.0?
? network 12.1.1.2 0.0.0.0?
? network 23.1.1.1 0.0.0.0?

R3
ospf 1 router-id 3.3.3.3?
?area 0.0.0.0?
? network 23.1.1.2 0.0.0.0?
? network 34.1.1.1 0.0.0.0?

R4
ospf 1 router-id 4.4.4.4?
?area 0.0.0.0?
? network 34.1.1.2 0.0.0.0?

? network 4.4.4.4 0.0.0.0?
#地址池
ip pool DHCP
?gateway-list 192.168.1.1?
?network 192.168.1.0 mask 255.255.255.0?
?dns-list 61.134.1.4?
#
interface GigabitEthernet0/0/1
?dhcp select global
# SSH配置
?local-user caorui password cipher123456
?local-user caorui privilege level 15
?local-user caorui service-type ssh
#
user-interface vty 0 4
?authentication-mode aaa
?protocol inbound ssh
R1
interface GigabitEthernet0/0/1
?dhcp select relay
?dhcp relay server-ip 34.1.1.2
#?華為的設備作為終端設備首次使用，需要開啟SSH
ssh client first-time enable?

3.3測試（DHCP中繼和SSH）

由上圖可知我們的DHCP中繼和SSH配置沒有問題

*DHCP中繼點所在的網段和R4所在網段能通，不然DHCP中繼不會成功，本實驗是跑了一個ospf動態路由協議，在R1上已經把192.168.1.0/24網段宣告進ospf里，所以在上面是R1-R4全網可達!

3.4DHCPsnooping配置

R5
#
ip pool R5DHCP
?gateway-list 192.168.2.1?
?network 192.168.2.0 mask 255.255.255.0?
?dns-list 114.114.114.114
#
interface GigabitEthernet0/0/0
?dhcp select global

SW1 端口鏡像
#
observe-port 1 interface GigabitEthernet0/0/2 ? ?監控端口
#
interface GigabitEthernet0/0/1 ? ? ? ? ? ? ? ? ? ? ? ? ? ?流量抓取端口
?port-mirroring to observe-port 1 inbound
?port-mirroring to observe-port 1 outbound
#
interface GigabitEthernet0/0/24 ? ? ? ? ? ? ? ? ? ? ? ? ?流量抓取端口
?port-mirroring to observe-port 1 inbound
?port-mirroring to observe-port 1 outbound
?

上述配置是讓大家從數據包的角度了解終端獲取地址的全過程，下面我們抓包看一下

當我在終端上ipconfig /release終端向原來獲取成功地址的設備發了一個DHCP release包，

告訴網關和其他設備，這個IP已經釋放，下面請看圖：

?上面這張圖是我把R5配置好以后抓包的圖片，二層里面的目標MAC地址是R5?Destination: HuaweiTe_db:48:21 (00:e0:fc:db:48:21)? ? 源?MAC是PC1的MAC? Source: HuaweiTe_41:3b:5a (54:89:98:41:3b:5a)? ?三層里面源Source: 0.0.0.0 目標Destination: 255.255.255.255? 也就是說PC1的現在沒有地址，我在PC1上ipconfig? /nenew 接著請看下面我抓包的圖片：

?由上圖可知：此局域網內有兩臺DHCP服務器在分配IP，而且是R5先回復了PC1 DHCP office和DHCP ack，由于R5先到所以終端PC就獲取到了由R5分配的IP地址，在PC1獲取地址成功以后發了三個ARP包，我打開了最上面的一個

這種ARP是無故ARP（免費ARP），目的是檢測網絡中其他設備有沒有使用該IP地址

由上面我們知道如果獲取到R5的地址是上不了互聯網（R4模擬的連接外網的設備）下面我們開始配置DHCPsnooping：

SW1?
[SW1]dhcp enable ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?全局模式開啟DHCP
[SW1]dhcp snooping enable ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 全局模式開啟DHCP snooping
[SW1-GigabitEthernet0/0/1]dhcp snooping trusted ? ? 信任端口
[SW1-GigabitEthernet0/0/24]dhcp snooping enable ? ?非信任端口
[SW1-GigabitEthernet0/0/4]dhcp snooping enable ? ? ?非信任端口
[SW1-GigabitEthernet0/0/2]dhcp snooping enable ? ? ?非信任端口

開啟以后我們驗證一下：

?

這次才獲取到了由R4DHCPserver分配的地址?，其實實現這個的原理就是非信任端口不能發送DHCP office和DHCP ack包，DHCP工作原理下面在做DHCPsnooping配置時，里面有我抓的包，可以參考，不在這里冗述

華為服務器均使用單播進行回復，cisco或微軟基于廣播進行回復；華為的單播使用準備給客戶端的ip地址來作為單播回復時的目標ip地址，主要還是基于MAC地址進行回復；

接下來我們來做一下端口安全：

每個端口最多讓綁定10個MAC地址（防止MAC地址攻擊）

interface GigabitEthernet0/0/2 ?
?port-security enable ? ? ? ? ? ? ? ? ? ? 開啟端口安全
?port-security max-mac-num 10 ? ?現在MAC地址數量
?port-security aging-time 300 ? ? ? ?老化時間

每個端口只綁定一個固定的MAC地址

[SW-Gthernet0/0/4]port-security mac-address sticky? 54-89-98-47-72-D1? vlan 1

這種是手寫綁定一個MAC地址

3.5端口隔離：

SW1
interface GigabitEthernet0/0/4
?port-isolate enable group 1 ? ? ??
interface GigabitEthernet0/0/2
?port-isolate enable group 1 ? ? ? 相同配置間接口被隔離

3.6端口隔離測試

?

由上圖可知：PC1ping不通PC5 ，實現了隔離；上面基于端口隔離的效果華為hybrid也可以實現這樣的效果。

總結

以上是生活随笔為你收集整理的DHCP中继的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。