28【工程实验室】【配置DHCP监听】

实验17配置DHCP监听【实验名称】配置DHCP监听（DHCPSnooping）。【实验目的】使用交换机的DHCP监听功能增强网络安全性。【背景描述】某企业网络，为了减小网络编址的复杂性和手工配置IP地址的工作量，使用了DHCP为网络中的设备分配IP地址。但网络管理员发现最近经常有员工抱怨无法访问网络资源，经过故障排查后，发现客户端PC通过DHCP获得了错误的IP地址，从该现象可以判断出网络中可能出现了DHCP攻击，有人私自架设了DHCP服务器（伪DHCP服务器）导致客户端PC不能获得正确的IP地址信息，以至不能够访问网络资源。【需求分析】对于网络中出现非法DHCP服务器的问题，需要防止其为客户端分配IP地址，仅允许合法的DHCP服务器提供服务。交换机的DHCP监听特性可以满足这个要求，阻止非法服务器为客户端分配IP地址。【实验拓扑】实验的拓扑图，如图17-1所示。图17-1【实验设备】三层交换机1台（支持DHCP监听）二层交换机1台（支持DHCP监听）PC机3台（其中2台需安装DHCP服务器）【预备知识】交换机转发原理、交换机基本配置、DHCP监听原理。【实验原理】交换机的DHCP监听特性可以通过过滤网络中接入的伪DHCP（非法的、不可信的）发送的DHCP报文增强网络安全性。DHCP监听还可以检查DHCP客户端发送的DHCP报文的合法性，防止DHCPDoS攻击。【实验步骤】步骤1配置DHCP服务器。将两台PC配置为DHCP服务器，一台用作合法服务器，另一台用作伪服务器（RogueDHCPServer）。可以使用WindowsServer配置DHCP服务器，或者使用第三方DHCP服务器软件。合法DHCP服务器中的地址池为172.16.1.0/24，伪DHCP服务器的地址池为1.1.1.0/24。步骤2SW2基本配置（接入层）。Switch#configureSwitch(config)#hostnameSW2SW2(config)#vlan2SW2(config-vlan)#exitSW2(config)#interfacerangefastEthernet0/1-2SW2(config-if-range)#switchportaccessvlan2SW2(config)#interfacefastEthernet0/24SW2(config-if)#switchportmodetrunkSW2(config-if)#endSW2#步骤3SW1基本配置（分布层）。Switch#configureSwitch(config)#hostnameSW1SW1(config)#interfacefastEthernet0/24SW1(config-if)#switchportmodetrunkSW1(config-if)#exitSW1(config)#vlan2SW1(config-vlan)#exitSW1(config)#interfacevlan2SW1(config-if)#ipaddress172.16.1.1255.255.255.0SW1(config-if)#exitSW1(config)#vlan100SW1(config-vlan)#exitSW1(config)#interfacevlan100SW1(config-if)#ipaddress10.1.1.2255.255.255.0SW1(config-if)#exit实验17配置DHCP监听·46·SW1(config)#interfacefastEthernet0/1SW1(config-if)#switchportaccessvlan100SW1(config-if)#endSW1#步骤4将SW1配置为DHCPRelay。SW1#configureSW1(config)#servicedhcpSW1(config)#iphelper-address10.1.1.1！配置DHCP中继，指明DHCP服务器地址SW1(config)#endSW1#步骤5验证测试。确保两台DHCP服务器可以正常工作。将客户端PC配置为自动获取地址后，接入交换机端口，此时可以看到客户端从伪DHCP服务器获得了错误的地址，如图17-2所示。图17-2图17-3是在客户端上使用Ethereal捕获的报文，可以看到，客户端先接收到了伪DHCP服务器发送的DHCPOffer报文，后收到通过DHCPRelay发送的DHCPOffer报文。根据通常DHCP协议的实现，客户端将使用收到的第一个响应报文（DHCPOffer）中的信息。图17-3步骤6在SW1上配置DHCP监听。SW1#configureSW1(config)#ipdhcpsnooping！开启DHCPsnooping功能实验17配置DHCP监听·47·SW1(config)#interfacefastEthernet0/1SW1(config-if)#ipdhcpsnoopingtrust！配置F0/1为trust端口SW1(config-if)#exitSW1(config)#interfacefastEthernet0/24SW1(config-if)#ipdhcpsnoopingtrust！配置F0/24为trust端口SW1(config-if)#endSW1#步骤7在SW2上配置DHCP监听。SW2#configureSW2(config)#ipdhcpsnoopingSW2(config)#interfacefastEthernet0/24SW2(config-if)#ipdhcpsnoopingtrustSW2(config-if)#endSW2#步骤8验证测试。将客户端之前获得的错误IP地址释放（使用Windows命令行ipconfig/release），再使用ipconfig/renew重新获取地址，可以看到客户端获取到了正确的IP地址，如图17-4所示。图17-4由于配置了DHCP监听，并且伪DHCP服务器连接的端口为非信任端口，所以交换机丢弃了伪DHCP服务器发送的响应报文。图17-5是在客户端上使用Ethereal捕获的报文，可以看到，客户端只接收到了通过DHCPRelay发送的DHCPOffer报文，未接收到伪DHCP服务器发送的DHCPOffer报文。图17-5实验17配置DHCP监听·48·【注意事项】DHCP监听只能配置在物理端口上，不能配置在VLAN接口上。【参考配置】SW1#showrunning-configBuildingconfiguration...Currentconfiguration:1427bytes!hostnameSW1!!!vlan1!vlan2!vlan100!!servicedhcpiphelper-address10.1.1.1ipdhcpsnooping!!!!interfaceFastEthernet0/1switchportaccessvlan100ipdhcpsnoopingtrust!interfaceFastEthernet0/2!interfaceFastEthernet0/3!interfaceFastEthernet0/4!interfaceFastEthernet0/5!interfaceFastEthernet0/6!interfaceFastEthernet0/7!实验17配置DHCP监听·49·interfaceFastEthernet0/8!interfaceFastEthernet0/9!interfaceFastEthernet0/10!interfaceFastEthernet0/11!interfaceFastEthernet0/12!interfaceFastEthernet0/13!interfaceFastEthernet0/14!interfaceFastEthernet0/15!interfaceFastEthernet0/16!interfaceFastEthernet0/17!interfaceFastEthernet0/18!interfaceFastEthernet0/19!interfaceFastEthernet0/20!interfaceFastEthernet0/21!interfaceFastEthernet0/22!interfaceFastEthernet0/23!interfaceFastEthernet0/24switchportmodetrunkipdhcpsnoopingtrust!interfaceGigabitEthernet0/25!interfaceGigabitEthernet0/26!interfaceGigabitEthernet0/27!实验17配置DHCP监听·50·interfaceGigabitEthernet0/28!interfaceVLAN2ipaddress172.16.1.1255.255.255.0!interfaceVLAN100ipaddress10.1.1.2255.255.255.0!linecon0linevty04login!!endSW2#shrunning-configBuildingconfiguration...Currentconfiguration:1254bytes!hostnameSW2!!!vlan1!vlan2!!ipdhcpsnooping!!interfaceFastEthernet0/1switchportaccessvlan2!interfaceFastEthernet0/2switchportaccessvlan2!interfaceFastEthernet0/3!interfaceFastEthernet0/4!interfaceFastEthernet0/5实验17配置DHCP监听·51·!interfaceFastEthernet0/6!interfaceFastEthernet0/7!interfaceFastEthernet0/8!interfaceFastEthernet0/9!interfaceFastEthernet0/10!interfaceFastEthernet0/11!interfaceFastEthernet0/12!interfaceFastEthernet0/13!interfaceFastEthernet0/14!interfaceFastEthernet0/15!interfaceFastEthernet0/16!interfaceFastEthernet0/17!interfaceFastEthernet0/18!interfaceFastEthernet0/19!interfaceFastEthernet0/20!interfaceFastEthernet0/21!interfaceFastEthernet0/22!interfaceFastEthernet0/23!interfaceFastEthernet0/24switchportmodetrunkipdhcpsnoopingtrust!interfaceGigabitEthernet0/25实验17配置DHCP监听·52·!interfaceGigabitEthernet0/26!interfaceGigabitEthernet0/27!interfaceGigabitEthernet0/28!!!!!linecon0linevty04login!!end实验17配置DHCP监听·53·