DHCP_SNOOPING_ DAI_IPSG实验
配置R1為DHCP?Server,R2、R4為DHCPClient,R3為靜態(tài)IP地址:
R1(config)#int?f0/0
R1(config-if)#ip?add?172.16.1.1?255.255.255.0
R1(config-if)#no?sh
R1(config)#service?dhcp
R1(config)#ipdhcp?pool?DHCP_POOL
R1(config-config)#network172.16.1.0?255.255.255.0
R1(config)#ipdhcp?excluded-address?172.16.1.1?172.16.1.1
R1(config)#ipdhcp?excluded-address?172.16.1.3?172.16.1.3
R2(config)#intf0/0
R2(config-if)#ip?add?dhcp
R2(config-if)#nosh
R3(config)#intf0/0
R3(config-if)#ip?add?172.16.1.3?255.255.255.0
R3(config-if)#no?sh
R4(config)#intf0/0
R4(config-if)#ip?add?dhcp
R4(config-if)#no?sh
SW1(config)#int?port-channel?1
SW1(config)#int?range?f0/11-?12
SW1(config-if)#switchport?encapsulation?dot1q
SW1(config-if)#switchport?mode?trunk
SW1(config-if)#channel-group1?mode?on
SW2(config)#int?port-channel?1
SW2(config)#int?range?f0/11-?12
SW2(config-if)#switchport?encapsulation?dot1q
SW2(config-if)#switchport?mode?trunk
SW2(config-if)#channel-group1?mode?on
配置DHCP?SNOOPING
SW1(config)#ip?dhcp?snooping???//啟用DHCP監(jiān)聽功能
SW1(config)#ip?dhcp?snooping?vlan?1?//配置SW1監(jiān)聽Vlan?1的DHCP數(shù)據(jù)包
SW1(config)#ip?dhcp?snooping?information?optionallow-untrusted
?//配置SW1能從非信任端口接收帶Option?82的DHCP報(bào)文
SW1(config)#ip?dhcp?snooping?verify?mac-address?//檢測非信任端口CHADDR字段與源MAC是否相同
SW1(config)#ip?dhcp?snooping?databaseflash:dhcp_snooping.db?//DHCP監(jiān)聽綁定表保存在Flash中
SW1(config)#ip?dhcp?snooping?database?write-delay15?//DHCP監(jiān)聽綁定表更新后等待15秒再保存
SW1(config)#ip?dhcp?snooping?database?timeout?15?//DHCP監(jiān)聽綁定表保存失敗后,只重新嘗試15秒
SW1#ip?dhcp?snoopingbinding?0023.04e5.b221?vlan?1?172.16.1.3?int?f0/3?expiry?4294967295??//手工添加綁定,因?yàn)殪o態(tài)IP地址不會自動生成DHCP監(jiān)聽綁定條目,它也是DAI和IPSG的基礎(chǔ)
SW1(config)#int?f0/1
SW1(config-if)#ip?dhcp?snooping?trust?//配置本端口為信任端口
SW1(config)#int?range?f0/11?-?12
SW1(config-if)#ip?dhcp?snooping?limit?rate?20?//限制非信任端口每秒鐘能接受的DHCP數(shù)據(jù)包為20個(gè)
SW2(config)#ip?dhcp?snooping
SW2(config)#ip?dhcp?snooping?vlan?1
SW2(config)#ip?dhcp?snooping?verify?mac-address
SW2(config)#ip?dhcp?snooping?database?flash:dhcp_snooping.db
SW2(config)#ip?dhcp?snooping?database?write-delay15
SW2(config)#ip?dhcp?snooping?database?timeout?15
SW1#ip?dhcp?snooping?binding?0023.04e5.b221?vlan?1?172.16.1.3?int?f0/3?expiry42967295
SW2(config)#int?range?f0/11?-?12
SW2(config-if)#ip?dhcp?snooping?trust
SW2(config)#int?range?f0/3?-?4
SW2(config-if)#ip?dhcp?snooping?limit?rate?10
R1(config)#ip?dhcp?relay?information?trust-all?//配置DHCP?Server能接收Option82為0的DHCP報(bào)文
實(shí)驗(yàn)調(diào)試
SW1#show?ip?dhcp?snooping?binding?//查看監(jiān)聽綁定表
配置DAI:
DAI根據(jù)DHCP監(jiān)聽綁定表來工作;DAI也分為信任端口和非信任端口,默認(rèn)所有端口都為非信任端口;DAI檢查所有非信任端口請求和響應(yīng)的ARP數(shù)據(jù)包,對不符合DHCP監(jiān)聽綁定表要求的ARP數(shù)據(jù)包丟棄。所以交換機(jī)中必須要有所有非信任端口主機(jī)的監(jiān)聽綁定條目,否則該主機(jī)將不能通信。這將使所有主機(jī)都被迫采用DHCP獲取IP地址(或管理員指定的IP地址),因?yàn)?/span>DHCP監(jiān)聽綁定表已經(jīng)對其進(jìn)行了綁定,可以有效地防止用戶私自更改指定IP地址。
SW1(config)#ip?arp?inspection?vlan?1?//在Vlan1啟用DAI
SW1(config)#ip?arp?inspection?validatesrc-mac?dst-mac?ip?//檢查ARP(請求和響應(yīng))報(bào)文
中的源MAC地址、目的MAC地址、源IP地址和DHCP?Snooping綁定中的信息是否一致
SW1(config)#int?f0/1
SW1(config-if)#ip?arp?inspection?trust?//配置本接口為信任接口
SW1(config)#int?range?f0/11?-?12
SW1(config-if)#ip?arp?inspection?limit?none?//取消ARP包的限制,默認(rèn)15個(gè)包/秒
SW2(config)#ip?arp?inspection?vlan?1
SW2(config)#ip?arp?inspection?validate?src-macdst-mac?ip
SW2(config)#int?range?f0/11?-?12
SW2(config-if)#ip?arp?inspection?trust
SW2(config)#int?range?f0/3?-?4
SW2(config-if)#ip?arp?inspection?limit?10
實(shí)驗(yàn)調(diào)試
SW1#show?ip?arp?inspection?//查看DAI信息
SW1#show?ip?arp?inspection?interfaces?//查看DAI接口狀態(tài)和ARP包的數(shù)量限制
配置IPSG:
默認(rèn)時(shí),IPSG不檢查所有接口的數(shù)據(jù)包,因此IPSG只需要在不信任接口上進(jìn)行配置即可。
SW1(config)#int?f0/2
SW1(config-if)#ip?verify?source?port-security?//在本接口啟用IPSG功能
SW2(config)#int?range?f0/3?-?4
SW2(config-if)#ip?verify?source?port-security
SW2#ip?source?binding?0023.04e5.b221?vlan1?172.16.1.3?int?f0/3?//手工在IP源綁定表中添加靜態(tài)IP地址記錄
說明:使用“ip?dhcp?snooping?binding”命令手工創(chuàng)建DHCP監(jiān)聽綁定條目時(shí),會自動在IP源綁定表中創(chuàng)建記錄;然而使用“ip?souce?binding”命令手工創(chuàng)建IP源綁定條目時(shí),則不會在DHCP監(jiān)聽綁定表中創(chuàng)建記錄。
配置端口安全特性:
由于試驗(yàn)中開啟了“源IP地址和源MAC過濾”,所以同時(shí)要配置端口安全功能。
SW1(config)#int?f0/2
SW1(config-if)#switchport?mode?access
SW1(config-if)#switchport?port-security
SW1(config-if)#switchport?port-security?max-mac-address?1
SW1(config-if)#switchport?port-security?mac-addresssticky
SW1(config-if)#switchport?port-security?violationshutdown
SW2(config)#int?range?f0/3?-?4
SW2(config-if)#switchport?mode?access
SW2(config-if)#switchport?port-security
SW2(config-if)#switchport?port-security?max-mac-address?1
SW2(config-if)#switchport?port-security?mac-addresssticky
SW2(config-if)#switchport?port-security?violationshutdown
IPSG的2種過濾類型:
1.源IP地址過濾:根據(jù)源IP地址對IP流量進(jìn)行過濾,只有當(dāng)源IP地址與源綁定條目匹配時(shí)IP流量才允許通過。
①接口下“ip?verify?source”命令,表示只開啟“源IP地址過濾”模式;
②當(dāng)交換機(jī)只使用“源IP地址過濾”時(shí),IP源防護(hù)功能與端口安全功能是相互獨(dú)立的關(guān)系。
2.源IP和源MAC地址過濾:根據(jù)源IP地址和源MAC地址對IP流量進(jìn)行過濾,只有當(dāng)源IP地址和源MAC地址都與IP源綁
定條目匹配時(shí)IP流量才允許通過。
①接口下“ip?verify?source?port-security”命令,表示開啟“源IP地址和源MAC過濾”模式;
②當(dāng)交換機(jī)使用“源IP地址和源MAC地址過濾”時(shí),IP源防護(hù)功能與端口安全功能是“集成”關(guān)系,即需要同
時(shí)開啟端口安全功能才能完成源IP地址和源MAC地址過濾;
③當(dāng)以源IP和源MAC地址作為過濾時(shí),為了確保DHCP協(xié)議能夠正常的工作,還必須啟用DHCP監(jiān)聽選項(xiàng)82功能。
對于沒有選項(xiàng)82的數(shù)據(jù),交換機(jī)不能確定用于轉(zhuǎn)發(fā)DHCP服務(wù)器響應(yīng)的客戶端主機(jī)端口,DHCP服務(wù)器響應(yīng)將被丟棄,客戶端也不能獲得IP地址。
實(shí)驗(yàn)調(diào)試
SW1#show?ip?verify?source
SW1#show?ip?source?binding?//查看IP源綁定表
轉(zhuǎn)載于:https://blog.51cto.com/baigp/1302051
總結(jié)
以上是生活随笔為你收集整理的DHCP_SNOOPING_ DAI_IPSG实验的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 苹果 iOS / iPadOS 17 首
- 下一篇: 硬RAID可以为NVMe SSD数据可靠