1.基于接口的DHCP配置
1.1配置R1
sys
sysname R1
undo info-center enable
dhcp enable 全局下开启DHCP功能
interface Ethernet0/0/0
ip address 192.168.1.1 255.255.255.0
dhcp select interface 在e0/0/0接口上启用基于接口的 DHCP服务
dhcp server dns-list 114.114.114.114 8.8.8.8
注意:分配接口所在的 ip网段,接口地址作为网关。
1.2验证配置
将PC1和PC2设置为DHCP获取地址并应用,通过命令ipconfig 查看获取到的IP地址。
1.3可抓包查看DHCP请求IP地址过程
注意:用户发送的第一个报文:源地址是0.0.0.0 目标地址是 255.255.255.255 。
2.DHCP静态绑定、租约
2.1SW1、SW2和SW3基础配置
(1)SW1:
sys
sysname SW1
undo info-center enable
vlan batch 8 to 9
interface Vlanif8
ip address 192.168.8.1 255.255.255.0
interface Vlanif9
ip address 192.168.9.1 255.255.255.0
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan all
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan all
(2)SW2:
sysname SW2
undo info-center enable
vlan batch 8 to 9
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan all
interface Ethernet0/0/2
port link-type access
port default vlan 8
interface Ethernet0/0/3
port link-type access
port default vlan 8
(3)SW3:
sysname SW3
undo info-center enable
vlan batch 8 to 9
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan all
interface Ethernet0/0/2
port link-type access
port default vlan 9
2.2在SW1上配置DHCP
(1)开启DHCP服务
dhcp enable
(2)配置地址池
ip pool vlan8
gateway-list 192.168.8.1
network 192.168.8.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
ip pool vlan9
gateway-list 192.168.9.1
network 192.168.9.0 mask 255.255.255.0
dns-list 114.114.114.114 8.8.8.8
(3)到vlanif接口下使能dhcp
interface Vlanif8
dhcp select global
interface Vlanif9
dhcp select global
(4)配置验证
PC1改为DHCP获取
由上图结果可以看到,DHCP动态获取IP地址成功。
(5)在SW1设置静态绑定
在企业网络中,当需要给某些设备打上固定IP地址,最好进行IP地址绑定,使得该设备的IP地址长时间不使用时,也不会被其他设备抢占。
假设PC2为领导的设备,需要特殊权限为此打上固定IP地址,避免其他人使用,可以通过IP地址进行绑定,在PC2上复制其MAC地址,然后进入到VLAN8的地址池中进行静态绑定。
ip pool vlan8
static-bind ip-address 192.168.8.8 mac-address 5489-9882-0de0
验证:
(6)设置IP地址的租约时间
在华为路由与交换中,其DHCP分配的地址默认为1天。
例如设置VLAN8地址池中的IP租借时长为2天8小时8分,VLAN9地址池中的IP租借时长为1天8小时8分
ip pool vlan8
lease day 2 hour 8 minute 8
ip pool vlan9
lease day 1 hour 8 minute 8
3.DHCP排除地址、domain-name
接上面的配置进行配置DHCP的排除地址,通过排除一段地址,用于给一些特殊设备或者人群使用,例如打印机设备,会议设备等
3.1配置DHCP排除地址
在规划设计地址排除,VLAN8划分192.168.8.240-192.168.8.254;VLAN9划分192.168.9.240-192.168.9.254;
先把PC获取到的IP地址进行释放,否则会出错,因为PC1已经获取到192.168.8.254
reset ip pool name vlan8 used
ip pool vlan8
excluded-ip-address 192.168.8.240 192.168.8.254
ip pool vlan9
excluded-ip-address 192.168.9.240 192.168.9.254
在PC1上进行验证:
可以看到PC1是拿到192.168.8.239的IP地址,而不是192.168.8.254了。
3.2配置DHCP的domain-name(可选配置)
配置DHCP的domain-name,相当于给DNS添加一个后缀,可以知道该IP地址属于哪个域中。
例如vlan8属于某公司的设计网络域中,vlan9属于该公司的普通办公网域中
ip pool vlan8
domain-name design.com
ip pool vlan9
domain-name work.com
4.DHCP Server 的IP冲突检测
dhcp server ping 命令用来配置DHCP服务器发送ping报文的最大数量和最长等待回应事件,缺省情况下,DHCP服务器发送ping报文最大数量位2,最长等待回应时间500毫秒。
应用场景
此命令应用与DHCP服务器端。为防止IP地址重复分配导致地址冲突,DHCP服务器为客户端分配地址前,需要先执行dhcp server ping命令发送ping报文探测地址的使用情况。地址探测是指能否在指定时间内得到ping应答,如果没有得到应答,则继续发送ping报文,直到发送ping包数量达到最大值,如果仍然没有收到应答,则认为没有收到应答,则认为本网段没有设备使用该IP地址,可以分配给改客户端使用,从而确保客户端被分得的IP地址是唯一的。
在上述的实验中添加一个PC4,并配置SW3
SW3:
interface Ethernet0/0/3
port link-type access
port default vlan 9
验证DHCP Server 的IP冲突检测
在上面的实验中已经对地址进行排除,因此PC3设置静态IP地址为192.168.9.239,PC4进行自动获取,服务端会去探测192.168.9.239有没有人使用,然后再去给PC4分配IP地址,这些分析需要在SW1上抓包查看。
(1)先设置PC3的IP地址
(2)在SW1上对其G0/0/2接口进行抓包
(3)在PC4上点击应用DHCP
(4)分析抓包
由上图可以看到,因为192.168.9.239被PC3占用了,DHCP服务端很快就探测到,进而去探测192.168.9.238,发现每人使用,从而分配给PC4使用。
5.DHCP中继-dhcp relay
5.1为什么需要DHCP Relay?
DHCP Relay 即 DHCP 中继,它的存在主要是为了解决在大型网络环境中,DHCP 服务器与客户端之间因距离或网络结构限制而产生的通信问题。
5.2DHCP Relay基本工作原理
5.3DHCP Relay配置实现
(1)接上面使用的拓扑图,把在SW1配置的DHCP地址池和接口下使能的DHCP配置信息清除:
SW1:
undo ip pool vlan8
y
undo ip pool vlan9
int vlan8
undo dhcp select global
int vlan9
undo dhcp select global
quit
(2)在拓扑上增加了一个Router设备作为模拟DHCP服务器,vlan为200,网段为12.1.1.0/24。
配置SW1:
vlan 200
quit
int vlan200
ip add 12.1.1.1 24
quit
interface GigabitEthernet0/0/3
port link-type access
port default vlan 200
配置DHCP Server:
先配置接口IP地址,接着使能DHCP服务,然后在接口下使能DHCP,下一步就是配置静态路由,使得网络联通,最后配置DHCP地址池。
sys
un in en
sysn DHCP_Server
interface Ethernet0/0/0
ip address 12.1.1.2 255.255.255.0
quit
dhcp enable
interface Ethernet0/0/0
dhcp select global
quit
ip route-static 0.0.0.0 0 12.1.1.1
ip pool vlan8
gateway-list 192.168.8.1
network 192.168.8.0 mask 255.255.255.0
excluded-ip-address 192.168.8.240 192.168.8.254
lease day 2 hour 8 minute 8
dns-list 114.114.114.114 8.8.8.8
domain-name design.com
quit
ip pool vlan9
gateway-list 192.168.9.1
network 192.168.9.0 mask 255.255.255.0
excluded-ip-address 192.168.9.240 192.168.9.254
lease day 1 hour 8 minute 8
dns-list 114.114.114.114 8.8.8.8
domain-name work.com
quit
(3)在SW1上的vlanif接口下配置DHCP中继,并指向服务器地址
interface Vlanif8
dhcp select relay
dhcp relay server-ip 12.1.1.2
quit
interface Vlanif9
dhcp select relay
dhcp relay server-ip 12.1.1.2
quit
(4)分别在SW的G0/0/1接口和G0/0/3接口抓包查看DHCP中继的原理
G0/0/1:
G0/0/3:
dhcp 中继原理:由于dhcp服务器和用户不在同一个van(即不在一个广播域),因此dhcp 广播报文无法发送到dhcp 服务器,此时在核心交换机上面配置dhcp中继 将dhcp 广播请求变为单播发送到dhcp 服务器。源地址由0.0.0.0 变成相应vanif接口的ip地址,目标地址由255.255.255.255 变成 dhcp 服务器的单播地址。广播包变成单播包被中继到dhcp 服务器,完成地址分配。
6.DHCP snooping
DHCP Snooping 是一种网络安全技术,用于防止未经授权的 DHCP 服务器接入网络,增强网络的安全性和稳定性。
6.1工作原理
监听 DHCP 消息:DHCP Snooping 设备会监听网络中的 DHCP 消息,包括 DHCP Discover、DHCP Offer、DHCP Request 和 DHCP Ack 等。通过对这些消息的分析,它可以了解网络中 DHCP 服务器的分布情况以及客户端的请求和获取 IP 地址的过程。
构建绑定表:根据监听的 DHCP 消息,DHCP Snooping 设备会构建一个 DHCP 绑定表。该绑定表记录了客户端的 MAC 地址、IP 地址、租用时间、端口等信息。通过这个绑定表,设备可以对后续的 DHCP 消息进行验证,确保只有合法的客户端能够获取 IP 地址。
过滤非法 DHCP 消息:当设备收到 DHCP 消息时,会根据绑定表进行验证。如果消息来自合法的 DHCP 服务器且符合绑定表中的信息,则允许该消息通过;否则,将过滤掉该消息,防止非法的 DHCP 服务器为客户端分配 IP 地址。
6.2主要功能
防止非法 DHCP 服务器接入:阻止未经授权的 DHCP 服务器接入网络,防止恶意用户通过私自搭建 DHCP 服务器来干扰网络正常运行或进行中间人攻击。
增强网络安全性:通过对 DHCP 消息的过滤和验证,有效防止了 DHCP 欺骗攻击,提高了网络的安全性,保护网络中的设备免受恶意攻击。
防止 IP 地址冲突:由于 DHCP Snooping 构建了 DHCP 绑定表,记录了每个客户端的 IP 地址分配情况,因此可以避免因手动配置 IP 地址或非法 DHCP 服务器分配 IP 地址导致的 IP 地址冲突问题。
支持端口安全:可以与端口安全功能结合使用,根据 MAC 地址、IP 地址等信息限制端口的访问权限,进一步增强网络的安全性。
6.3应用场景
企业网络:在企业内部网络中,DHCP Snooping 可以防止员工私自搭建 DHCP 服务器,确保网络中 IP 地址的分配和管理由合法的 DHCP 服务器统一进行,提高网络的安全性和稳定性。
校园网络:校园网络中存在大量的学生和教师用户,DHCP Snooping 可以防止非法用户接入网络,避免因 IP 地址冲突等问题影响网络正常使用,同时也可以防止恶意攻击。
公共场所网络:如酒店、机场、咖啡馆等公共场所的无线网络,DHCP Snooping 可以防止恶意用户通过搭建 DHCP 服务器来获取用户的信息或进行攻击,保护用户的隐私和网络安全。
例如有人私接TP-link路由器,导致内网一些用户会接收到TP-link分配的IP地址,导致影响一些业务,管理人员可以在交换机上配置DHCP snooping。
假设在SW2上启用:
#先要在接入层交换机使能DHCP服务,然后在使能dhcp snooping
dhcp enable
dhcp snooping enable
#在VLAN8中使能dhcp snooping
vlan 8
dhcp snooping enable
quit
#将上联口设置为信任接口(默认所有的接口都是非信任接口)
interface Ethernet0/0/1
dhcp snooping trusted
quit
7.DHCP安全防护
禁止用户手动配置静态ip地址,防止ip地址冲突(模拟器不支持) 利用dhcp snooping 建立ip-mac-接口 的检查映射表项(适合 企业用户采用动态ip获取的企业)
7.1dhcp snooping用于防止饿死攻击
所有接入交换机接用户口:
SW2:
interface Ethernet0/0/2
dhcp snooping check dhcp-chaddr enable
interface Ethernet0/0/3
dhcp snooping check dhcp-chaddr enable
#查看 DHCP Snooping 用户绑定信息
display dhcp snooping user-bind all
该表是一个动态表,插拔接口或者从新获取地址,该表都会被刷新掉!
注意:该映射表是交换机通过窥探dhcp 报文而建立的映射表。
7.2 dhcp snooping用于防止DHCP中间人攻击
如果需要使用上面所描述的防止Spoofing IP/MAC攻击(进而防止中间人)的方法,需要在交换机的系统视图下执行配置命令:arp dhcp-snooping-detect enable
DHCP Snooping绑定表也可以手动进行绑定:
例如在SW2上的手动绑定
user-bind static ip-address 192.168.8.9 mac-address 5489-9882-0DE0 interface Ethernet 0/0/3
模拟器有BUG,添加上去的绑定信息无法显示到绑定表中
7.3DHCP Snooping与IPSF技术的联动
网络中经常会存在针对源IP地址进行欺骗的攻击行为,例如,攻击者仿冒合法用户的IP地址来向服务器发送IP报文。针对这类攻击,相应的防范技术称为IPSG(IPSource Guard)技术。交换机使能IPSG功能后,会对进入交换机端的报文进行合法性检查,并对报文进行过滤(如果合法,则转发;如果非法,则丢弃)。
报文的检查项可以是源IP地址、源MAC地址、VLAN和物理端口号的若干种组合。例如,在交换机的端口视图下可支IP+MAC、IP+VLAN、IP+MAC+VLAN等组合检查,在交换机的VLAN视图下可支持:IP+MAC、IP+物理端口号、IP+MAC+物理端口号等组合检查。关键配置命令:在交换机的端口视图下或VLAN视图下执行配置命令:
ip source check user-bind enable(默认mac 、ip 等全部开启合法性检査)
例如在SW2交换机的E0/0/2接口进行开启:
interface Ethernet0/0/2
ip source check user-bind enable # 开启ip源地址检查功能
ip source check user-bind check-item XXX
#使用这个命令就可以对检查项进行组合,比如IP+MAC,默认是全部检查的
7.4IPSG技术
(1)IPSG概述
IPSG即IP源防攻击(IP Source Guard)是一种基于二层接口的源IP地址过滤技术,IPSG的绑定表维护了网络中主机IP地址、MAC地址等信息的绑定关系,通过将报文信息与绑定表比对,它能够有效防止恶意主机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。
(2)IPSG中的绑定表
IPSG维护了一张绑定表,记录了源IP地址、源MAC地址、所属VLAN、入接口的绑定关系。当应用IPSG的二层接口收到IP报文时,会将报文信息与绑定表信息进行匹配,只有匹配关系正确的报文允许通过接口,其他报文将被丢弃。
(3)IPSG中的接口角色
IPSG仅支持在二层物理接口或者VLAN上应用,且只对使能了IPSG功能的非信任接口进行检查。对于IPSG来说,缺省所有的接口均为非信任接口,信任接口由用户指定。IPSG的信任接口/非信任接口也就是DHCP Snooping中的信任接口/非信任接口,信任接口/非信任接口同样适用于基于静态绑定表方式的IPSG。
以下是IPSG中各接口角色的样例,其中:
Interface1和Interface2接口为非信任接口且使能IPSG功能,从Interface1和Interface2接口收到的报文会执行IPSG检查。
Interface3接口为非信任接口但未使能IPSG功能,从Interface3接口收到的报文不会执行IPSG检查,可能存在攻击。
Interface4接口为用户指定的信任接口,从Interface4接口收到的报文也不会执行IPSG检查,但此接口一般不存在攻击。
