當前位置：首頁 > 人工智能 > ChatGpt >内容正文

ChatGpt

DHCP_SNOOPING_ DAI_IPSG实验

發布時間：2023/12/31 ChatGpt 33 豆豆

生活随笔收集整理的這篇文章主要介紹了 DHCP_SNOOPING_ DAI_IPSG实验小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

配置R1為DHCP?Server，R2、R4為DHCPClient，R3為靜態IP地址：

R1(config)#int?f0/0

R1(config-if)#ip?add?172.16.1.1?255.255.255.0

R1(config-if)#no?sh

R1(config)#service?dhcp

R1(config)#ipdhcp?pool?DHCP_POOL

R1(config-config)#network172.16.1.0?255.255.255.0

R1(config)#ipdhcp?excluded-address?172.16.1.1?172.16.1.1

R1(config)#ipdhcp?excluded-address?172.16.1.3?172.16.1.3

R2(config)#intf0/0

R2(config-if)#ip?add?dhcp

R2(config-if)#nosh

R3(config)#intf0/0

R3(config-if)#ip?add?172.16.1.3?255.255.255.0

R3(config-if)#no?sh

R4(config)#intf0/0

R4(config-if)#ip?add?dhcp

R4(config-if)#no?sh

SW1(config)#int?port-channel?1

SW1(config)#int?range?f0/11-?12

SW1(config-if)#switchport?encapsulation?dot1q

SW1(config-if)#switchport?mode?trunk

SW1(config-if)#channel-group1?mode?on

SW2(config)#int?port-channel?1

SW2(config)#int?range?f0/11-?12

SW2(config-if)#switchport?encapsulation?dot1q

SW2(config-if)#switchport?mode?trunk

SW2(config-if)#channel-group1?mode?on

配置DHCP?SNOOPING

SW1(config)#ip?dhcp?snooping???//啟用DHCP監聽功能

SW1(config)#ip?dhcp?snooping?vlan?1?//配置SW1監聽Vlan?1的DHCP數據包

SW1(config)#ip?dhcp?snooping?information?optionallow-untrusted

?//配置SW1能從非信任端口接收帶Option?82的DHCP報文

SW1(config)#ip?dhcp?snooping?verify?mac-address?//檢測非信任端口CHADDR字段與源MAC是否相同

SW1(config)#ip?dhcp?snooping?databaseflash:dhcp_snooping.db?//DHCP監聽綁定表保存在Flash中

SW1(config)#ip?dhcp?snooping?database?write-delay15?//DHCP監聽綁定表更新后等待15秒再保存

SW1(config)#ip?dhcp?snooping?database?timeout?15?//DHCP監聽綁定表保存失敗后，只重新嘗試15秒

SW1#ip?dhcp?snoopingbinding?0023.04e5.b221?vlan?1?172.16.1.3?int?f0/3?expiry?4294967295??//手工添加綁定，因為靜態IP地址不會自動生成DHCP監聽綁定條目，它也是DAI和IPSG的基礎

SW1(config)#int?f0/1

SW1(config-if)#ip?dhcp?snooping?trust?//配置本端口為信任端口

SW1(config)#int?range?f0/11?-?12

SW1(config-if)#ip?dhcp?snooping?limit?rate?20?//限制非信任端口每秒鐘能接受的DHCP數據包為20個

SW2(config)#ip?dhcp?snooping

SW2(config)#ip?dhcp?snooping?vlan?1

SW2(config)#ip?dhcp?snooping?verify?mac-address

SW2(config)#ip?dhcp?snooping?database?flash:dhcp_snooping.db

SW2(config)#ip?dhcp?snooping?database?write-delay15

SW2(config)#ip?dhcp?snooping?database?timeout?15

SW1#ip?dhcp?snooping?binding?0023.04e5.b221?vlan?1?172.16.1.3?int?f0/3?expiry42967295

SW2(config)#int?range?f0/11?-?12

SW2(config-if)#ip?dhcp?snooping?trust

SW2(config)#int?range?f0/3?-?4

SW2(config-if)#ip?dhcp?snooping?limit?rate?10

R1(config)#ip?dhcp?relay?information?trust-all?//配置DHCP?Server能接收Option82為0的DHCP報文

實驗調試

SW1#show?ip?dhcp?snooping?binding?//查看監聽綁定表

配置DAI：

DAI根據DHCP監聽綁定表來工作；DAI也分為信任端口和非信任端口，默認所有端口都為非信任端口；DAI檢查所有非信任端口請求和響應的ARP數據包，對不符合DHCP監聽綁定表要求的ARP數據包丟棄。所以交換機中必須要有所有非信任端口主機的監聽綁定條目，否則該主機將不能通信。這將使所有主機都被迫采用DHCP獲取IP地址(或管理員指定的IP地址)，因為DHCP監聽綁定表已經對其進行了綁定，可以有效地防止用戶私自更改指定IP地址。

SW1(config)#ip?arp?inspection?vlan?1?//在Vlan1啟用DAI

SW1(config)#ip?arp?inspection?validatesrc-mac?dst-mac?ip?//檢查ARP(請求和響應)報文

中的源MAC地址、目的MAC地址、源IP地址和DHCP?Snooping綁定中的信息是否一致

SW1(config)#int?f0/1

SW1(config-if)#ip?arp?inspection?trust?//配置本接口為信任接口

SW1(config)#int?range?f0/11?-?12

SW1(config-if)#ip?arp?inspection?limit?none?//取消ARP包的限制，默認15個包/秒

SW2(config)#ip?arp?inspection?vlan?1

SW2(config)#ip?arp?inspection?validate?src-macdst-mac?ip

SW2(config)#int?range?f0/11?-?12

SW2(config-if)#ip?arp?inspection?trust

SW2(config)#int?range?f0/3?-?4

SW2(config-if)#ip?arp?inspection?limit?10

實驗調試

SW1#show?ip?arp?inspection?//查看DAI信息

SW1#show?ip?arp?inspection?interfaces?//查看DAI接口狀態和ARP包的數量限制

配置IPSG：

默認時，IPSG不檢查所有接口的數據包，因此IPSG只需要在不信任接口上進行配置即可。

SW1(config)#int?f0/2

SW1(config-if)#ip?verify?source?port-security?//在本接口啟用IPSG功能

SW2(config)#int?range?f0/3?-?4

SW2(config-if)#ip?verify?source?port-security

SW2#ip?source?binding?0023.04e5.b221?vlan1?172.16.1.3?int?f0/3?//手工在IP源綁定表中添加靜態IP地址記錄

說明：使用“ip?dhcp?snooping?binding”命令手工創建DHCP監聽綁定條目時，會自動在IP源綁定表中創建記錄；然而使用“ip?souce?binding”命令手工創建IP源綁定條目時，則不會在DHCP監聽綁定表中創建記錄。

配置端口安全特性：

由于試驗中開啟了“源IP地址和源MAC過濾”，所以同時要配置端口安全功能。

SW1(config)#int?f0/2

SW1(config-if)#switchport?mode?access

SW1(config-if)#switchport?port-security

SW1(config-if)#switchport?port-security?max-mac-address?1

SW1(config-if)#switchport?port-security?mac-addresssticky

SW1(config-if)#switchport?port-security?violationshutdown

SW2(config)#int?range?f0/3?-?4

SW2(config-if)#switchport?mode?access

SW2(config-if)#switchport?port-security

SW2(config-if)#switchport?port-security?max-mac-address?1

SW2(config-if)#switchport?port-security?mac-addresssticky

SW2(config-if)#switchport?port-security?violationshutdown

IPSG的2種過濾類型：

1.源IP地址過濾:根據源IP地址對IP流量進行過濾，只有當源IP地址與源綁定條目匹配時IP流量才允許通過。

①接口下“ip?verify?source”命令，表示只開啟“源IP地址過濾”模式；

②當交換機只使用“源IP地址過濾”時，IP源防護功能與端口安全功能是相互獨立的關系。

2.源IP和源MAC地址過濾:根據源IP地址和源MAC地址對IP流量進行過濾，只有當源IP地址和源MAC地址都與IP源綁

定條目匹配時IP流量才允許通過。

①接口下“ip?verify?source?port-security”命令，表示開啟“源IP地址和源MAC過濾”模式；

②當交換機使用“源IP地址和源MAC地址過濾”時，IP源防護功能與端口安全功能是“集成”關系，即需要同

時開啟端口安全功能才能完成源IP地址和源MAC地址過濾；

③當以源IP和源MAC地址作為過濾時，為了確保DHCP協議能夠正常的工作，還必須啟用DHCP監聽選項82功能。

對于沒有選項82的數據，交換機不能確定用于轉發DHCP服務器響應的客戶端主機端口，DHCP服務器響應將被丟棄，客戶端也不能獲得IP地址。

實驗調試

SW1#show?ip?verify?source

SW1#show?ip?source?binding?//查看IP源綁定表

轉載于:https://blog.51cto.com/baigp/1302051

總結

以上是生活随笔為你收集整理的DHCP_SNOOPING_ DAI_IPSG实验的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

DAI_IPSG

上一篇：苹果 iOS / iPadOS 17 首
下一篇：硬RAID可以为NVMe SSD数据可靠