Cisco 解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

网络管理员:现在用户真是不省心,自己改个IP地址;私接AP、忘关DHCP,还有的下个小黑客程序,就想在你内网里试试。单靠交换机能管吗?测试工程师:能!很多交换机上的小功能都可帮大忙。测试实况:IP与MAC绑定思科的Catalyst3560交换机支持DHCPSnooping功能,交换机会监听DHCP的过程,交换机会生成一个IP和MAC地址对应表。思科的交换机更进一步的支持IPsourceguard和DynamicARPInspection功能,这两个功能任启一个都可以自动的根据DHCPSnooping监听获得的IP和MAC地址对应表,进行绑定,防止私自更改地址。DynamicARPInspection功能还有一个好处是可以防范在2层网络的中间人攻击(见图4)。思科在DHCPSnooping上还做了一些非常有益的扩展功能,比如Catalyst3560交换机可以限制端口通过的DHCP数据包的速率,粒度是pps,这样可以防止对DHCP服务器的进行地址请求的DoS攻击。另外Catalyst3560交换机还支持DHCPTracker,在DHCP请求中插入交换机端口的ID,从而限制每个端口申请的IP地址数目,防止黑客程序对DHCP服务器进行目的为耗尽IP地址池的攻击。华硕虽然不能调整速率,但是也会限制DHCP请求的数量。DHCP(动态主机配置协议)是一种简化主机IP地址配置管理的TCP/IP标准。该标准为DHCP服务器的使用提供了一种有效的方法:即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。在基于TCP/IP协议的网络中,每台计算机都必须有唯一的IP地址才能访问网络上的资源,网络中计算机之间的通信是通过IP地址来实现的,并且通过IP地址和子网掩码来标识主计算机及其所连接的子网。在局域网中如果计算机的数量比较少,当然可以手动设置其IP地址,但是如果在计算机的数量较多并且划分了多个子网的情况下,为计算机配置IP地址所涉及的管理员工作量和复杂性就会相当繁重,而且容易出错,如在实际使用过程中,我们经常会遇到因IP地址冲突、网关或DNS服务器地址的设置错误导致无法访问网络、机器经常变动位置而不得不频繁地更换IP地址等问题。DHCP则很好地解决了上述的问题,通过在网络上安装和配置DHCP服务器,启用了DHCP的客户机可在每次启动并加入网络时自动地获得其上网所需的IP地址和相关的配置参数。从而减少了配置管理,提供了安全而可靠的配置。配置DHCP服务的服务器可以为每一个网络客户提供一个IP地址、子网掩码、缺省网关,以及DNS服务器的地址。DHCP避免了因手工设置IP地址及子网掩码所产生的错误,也避免了把一个IP地址分配给多台主机所造成的地址冲突。降低了IP地址管理员的设置负担,使用DHCP服务器可以大大地缩短配置网络中主机所花费的时间。但是,随着DHCP服务的广泛应用,也产生了一些问题。首先,DHCP服务允许在一个子网内存在多台DHCP服务器,这就意味着管理员无法保证客户端只能从管理员所设置的DHCP服务器中获取合法的IP地址,而不从一些用户自建的非法DHCP服务器中取得IP地址;其次,在部署DHCP服务的子网中,指定了合法的IP地址、掩码和网关的主机也可以正常地访问网络,而DHCP服务器却仍然会有可能将该地址分配给其他主机,这样就会造成地址冲突,影响IP地址的正常分配。针对上述问题,本文给出了一个解决方案,即通过使用Cisco提供的DHCPSnooping技术和DynamicARPInspection技术,可以有效地防止以上问题的发生。这里首先对两种技术做一个简要的介绍,然后将给出一个应用实例加以说明。四、应用实例我校1#学生公寓,PC拥有数量大约1000台。采用DHCP分配IP地址,拥有4个C类地址,实际可用地址数约1000个。由于楼内经常存在私开的DHCP服务器,导致大量主机无法分配到合法IP地址;另外,由于有相当数量的主机指定IP地址,因此造成了与DHCP分配的IP地址冲突。以上两方面,均造成了该公寓楼大量主机无法正常访问网络。经过一段时间的分析、实验,我们决定对该公寓楼部署DHCPSnooping和DynamicARPInspection两项技术,以保证网络的正常运行。该公寓网络设备使用情况如下,接入层为××台Cisco2950交换机上联至堆叠的4台Cisco3750,再通过光纤上联至汇聚层的Cisco3750交换机。同时汇聚层的Cisco3750交换机还兼做DHCP服务器。部署过程首先按如下过程配置DHCPSnooping1configureterminal2ipdhcpsnooping在全局模式下启用DHCPSnooping3ipdhcpsnoopingvlan103在VLAN103中启用DHCPSnooping4ipdhcpsnoopinginformationoptionEnabletheswitchtoinsertandremoveDHCPrelayinformation(option-82field)inforwardedDHCPrequestmessagestotheDHCPserver.Thedefaultisenabled.5interfaceGigabitEthernet1/0/28,进入交换机的第28口6ipdhcpsnoopingtrust将第28口设置为受信任端口7ipdhcpsnoopinglimitrate500设置每秒钟处理DHCP数据包上限9end退出完成配置后,可用如下命令观察DHCPSnooping运行状况:showipdhcpsnooping得到如下信息:SwitchDHCPsnoopingisenabledDHCPsnoopingisconfiguredonfollowingVLANs:103Insertionofoption82isenabledVerificationofhwaddrfieldisenabledInterfaceTrustedRatelimit(pps)-----------------------------------------------GigabitEthernet1/0/22yesunlimitedGigabitEthernet1/0/24yesunlimitedGigabitEthernet1/0/27yesunlimitedGigabitEthernet1/0/28no500showipdhcpsnoopingbinding,得到如下信息:MacAddressIpAddressLease(sec)TypeVLANInterface-----------------------------------------------------------------------------------------------------------------------00:11:09:11:51:16210.77.5.2013209dhcp-snooping103GigabitEthernet1/0/2800:50:8D:63:5A:05210.77.6.1342466dhcp-snooping103GigabitEthernet1/0/2800:E0:4C:A17:80210.77.4.263070dhcp-snooping103GigabitEthernet1/0/2800:0F:EA:A8:BC:22210.77.5.1981887dhcp-snooping103GigabitEthernet1/0/2810:E0:8C:50:805210.77.5.953034dhcp-snooping103GigabitEthernet1/0/2800:03:0D:0E:9A:A5210.77.6.2303144dhcp-snooping103GigabitEthernet1/0/2800:50:8D:6C:08:9F210.77.4.173012dhcp-snooping103GigabitEthernet1/0/2800:E0:50:00:0B:54210.77.6.183109dhcp-snooping103GigabitEthernet1/0/2800:0F:EA:13:40:54210.77.7.72631dhcp-snooping103GigabitEthernet1/0/2800:E0:4C:45:21:E9210.77.7.772687dhcp-snooping103GigabitEthernet1/0/28--More--接下来配置DynamicARPInspection1showcdpneighbors检查交换机之间的连接情况CapabilityCodes:R-Router,T-TransBridge,B-SourceRouteBridgeS-Switch,H-Host,I-IGMP,r-Repeater,P-PhoneDeviceIDLocalIntrfceHoldtmeCapabilityPlatformPortIDapGig1/0/23149TAIR-AP1230Fas0hall-3750Gig1/0/27135SIWS-C3750-2Gig1/0/11#west-3750Gig1/0/28173SIWS-C3750G-Gig1/0/252configureterminal进入全局配置模式3iparpinspectionvlan103在VLAN103上启用DynamicARPInspection4interfaceGigabitEthernet1/0/28进入第28端口5iparpinspectiontrust将端口设置为受信任端口TheswitchdoesnotcheckARPpacketsthatitreceivesfromtheotherswitchonthetrustedinterface.Itsimplyforwardsthepackets.6end配置完成后可以用如下命令观察DynamicARPInspection的运行情况showarpaccess-list[acl-name]DisplaysdetailedinformationaboutARPACLs.showiparpinspectioninterfaces[interface-id]DisplaysthetruststateandtheratelimitofARPpacketsforthespecifiedinterfaceorallinterfaces.InterfaceTrustStateRate(pps)BurstInterval--------------------------------------------------Gi1/0/21Untrusted151Gi1/0/22TrustedNoneN/AGi1/0/23Untrusted151Gi1/0/24TrustedNoneN/AGi1/0/25Untrusted151Gi1/0/26Untrusted151Gi1/0/27TrustedNoneN/AGi1/0/28UntrustedNoneN/Ashowiparpinspectionvlanvlan-range,DisplaystheconfigurationandtheoperatingstateofdynamicARPinspectionforallVLANsconfiguredontheswitch,foraspecifiedVLAN,orforarangeofVLANs.yql-2#-3750#shiparpinspectionvlan103SourceMacValidation:DisabledDestinationMacValidation:DisabledIPAddressValidation:DisabledVlanConfigurationOperationACLMatchStaticAC

1 / 6
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功