无线路由器DHCP维护
(DHCP维护)
一、应用领域企业当中的IP地址选用DHCP服务器下发,避免在互联网里出现别的不合法的DHCP服务器下发IP地址,进而保障网络安全,必须配置DHCP Snooping对策。
二、试验拓扑结构
实验操作中AR1为合法合规DHCP服务器,AR2为不合法的DHCP服务器。DHCP服务项目配置基本一致,区别是合理的DHCP服务器配置的dns是8.8.8.8,不合法的DHCP服务器配置的dns是4.4.4.4。
三、IP整体规划
四、配置思路
五、配置全过程5.1、基本配置,划分vlan及添加端口号5.1.1、在网络交换机SW1上配置5.1.1.1、划分vlan10 20<Huawei>sys
[Huawei]sys SW1
[SW1]vlan batch 10 20
5.1.1.2、把对应的1口和2口区划到vlan10,3口区划到20[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 10
[SW1]int g0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port default vlan 10
[SW1]int g0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 20
5.1.1.3、配置vlan10和vlan20的三层虚似插口vlanif的详细地址,做为相匹配vlan的网关地址[SW1]int vlan 10
[SW1-Vlanif10]ip addr 192.168.10.254 24
[SW1-Vlanif10]int vlan 20
[SW1-Vlanif20]ip address 10.10.1.2 24
5.1.1.4、查询配置查看vlan及端口号
[SW1]dis port vlan active
查询三层虚似接口地址
[SW1]dis ip int brief
5.1.2、在合理合法无线路由器AR1上配置5.1.2.1、配置与网络交换机连接的插口IP地址<Huawei>sys
[Huawei]sys AR1
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip address 10.10.1.1 24
5.1.3在不合法的无线路由器AR2上配置5.1.3.1、配置插口IP地址为192.168.10.2 24<Huawei>sys
[Huawei]sys AR2
[AR2]int g0/0/2
[AR2-GigabitEthernet0/0/2]ip address 192.168.10.2 24
5.1.4检测直联路由器合理合法无线路由器AR1到三层交换机vlan20的网关ipvlanif 20
<AR1>ping 10.10.1.2
违法无线路由器AR2到三层交换机vlan10的网关ipvlanif 10
<AR2>ping 192.168.10.254
5.2、配置静态路由,使最底层链接互通5.2.1在合理合法无线路由器AR1上配置5.2.1.1、配置一条静态路由,到192.168.10.0子网。下一跳是vlan10的网关地址[AR1]ip route-static 192.168.10.0 24 10.10.1.2
5.2.2查询AR1的默认路由<AR1>dis ip routing-table
由图中悉知,在AR1上面有抵达网络交换机vlan10所属的子网192.168.10.0/24的静态路由。
5.2.3、在网络交换机SW1上查询默认路由<SW1>dis ip routing-table
由图中悉知,在SW1上面有抵达无线路由器AR1所属10.10.1.0/24子网的直联路由器。
因此由上边的2个默认路由(无线路由器AR1和网络交换机SW1)悉知,如今PC1配置一个静态IP详细地址192.168.1.3/24能够ping通无线路由器AR1的10.10.1.1/24详细地址
PC>ping 10.10.1.1
5.2.4、查询违法DHCP无线路由器AR2的默认路由<AR2>dis ip routing-table
由图中悉知,在AR2中没有抵达AR1子网10.10.1.0/24的路由器,必须创建一条抵达AR1里的缺省路由,下一跳为vlan10的虚似插口vlanif的详细地址10.10.1.254,那也是企业当中私拉乱建配置无线路由器常见恰当方式。
5.2.5、在AR2上配置缺省路由[AR2]ip route-static 0.0.0.0 0.0.0.0 192.168.10.254
5.2.6、查询AR2的默认路由
这时再检测AR2到AR1的链接
[AR2]ping 10.10.1.1
这时各大网站链接的最底层早已跑通。
5.3、配置DHCP5.3.1、在无线路由器AR1上配置5.3.1.1、配置DHCP服务项目[AR1]dhcp en
[AR1]ip pool vlan10
[AR1-ip-pool-vlan10]network 192.168.10.0 mask 24
[AR1-ip-pool-vlan10]gateway-list 192.168.10.254
[AR1-ip-pool-vlan10]dns-list 8.8.8.8
5.3.1.2、在无线路由器与交换机连接的插口上打开全局性dhcp模式dhcp select global,含意启用一个全局模式下创建的地址池(ip pool) 网关ip。
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]dhcp select global
5.3.2 在网络交换机上配置5.3.2.1在网络交换机上打开dhcp代理作用[SW1]dhcp enable
5.3.2.2在网络交换机上vlan10的虚似插口vlanif 10上配置代理商[SW1]int vlan 10
[SW1-Vlanif10]dhcp select relay
[SW1-Vlanif10]dhcp relay server-ip 10.10.1.1
5.3.3检测这时PC1能通过DHCP正常的得到AR1下发的IP地址
到此,DHCP服务器构建结束。
下边有些人在企业当中构建了不合法的DHCP服务器AR2.
5.4、在AR2上都配置同样的DHCP5.4.1这一配置和AR1配置不同类型的是dns,来区别是哪一个DHCP服务器[AR2]dhcp enable
[AR2]ip pool vlan10
[AR2-ip-pool-vlan10]gateway-list 192.168.10.254
[AR2-ip-pool-vlan10]network 192.168.10.0 mask 255.255.255.0
[AR2-ip-pool-vlan10]dns-list 4.4.4.4
5.4.2、在无线路由器与交换机连接的插口上打开全局性dhcp模式dhcp select global,含意启用一个全局模式下创建的地址池(ip pool) 网关ip。
[AR2-ip-pool-vlan10]int g0/0/2
[AR2-GigabitEthernet0/0/2]dhcp select global
5.5、检测得到IP地址5.5.1、PC1打开DHCP得到IP地址作用如今其应当在同一vlan(vlan10)里的DHCP服务器得到Ip,也就是从AR2中取得,因其间距PC1近,因此回应的高效。
由图中悉知,dns是4.4.4.4是违法DHCP服务器AR2给予地址。
5.5.2、在网络交换机全局模式下打开dhcp snooping 作用[SW1]dhcp snooping enable
[SW1]dhcp snooping enable vlan 10
5.6、认证在PC1上先消除DHCP得到地址
PC>ipconfig /release
重新得到
PC>ipconfig /renew
由图中悉知,PC1所获得的DNS地址是8.8.8.8,这是合理的DHCP服务器的DNS详细地址,因此PC1是以合法合规DHCP服务器AR1上所获得的IP地址。
六、提议实际应用中,建议大家在客户连接层交换机上边布署DHCP Snooping作用,越接近PC端口操纵越精确。而每一个网络交换机的端口号强烈推荐只联接一台PC,不然假如网络交换机某端口号下串连一个Hub,在Hub上连接着多个PC得话,那如果赶巧该Hub下发生DHCP出轨,因为出轨报文格式都是在Hub端口间立即转发了,未受连接层交换机的DHCP Snooping作用控制,这种出轨就难以避免了。
因此网络里,除开技术性安全防护,还要相互配合管理方案的安全防护,才可以最大程度确保网络安全。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。