WOLFLAB CCNP學習筆記-交換-DHCP協議與DHCP中繼的配置實驗解析
歡迎關注WOLFLAB網絡實驗室,我們定期都會更新更多關于CCNP相關的技術
WOLFLAB CCNP學習筆記-交換-DHCP協議與DHCP中繼的配置實驗解析
需求描述
1. 實驗室交換機架登陸:
Rack 99 192.168.9.99
Rack 98 192.168.9.98
Rack 100 192.168.9.100
做實驗之前,請重啟設備,做完實驗後,請勿保存。想要通過外網登陸機架請聯系WOLFLAB,獲取登陸方式。
2. 在sw1-sw2之間封裝Trunk,配置R1的接口地址為1.1.1.1/24,配置R2的接口地址為1.1.1.2/24。在R1和R2上配置DHCP,默認網關分别指向R1和R2的接口地址。
|
SW1 SW2:
|
|
R3 R4: interface Ethernet0 no shutdown ip address dhcp R3#show ip inter brief Interface IP-Address OK? Method Status Protocol Ethernet0 1.1.1.2 YES DHCP up up R4#show ip inter brief Interface IP-Address OK? Method Status Protocol Ethernet0 1.1.1.101 YES DHCP up up 解析:将R3和R4的接口shutwn/no shutdown多試幾次,R3 R4獲取的IP地址,可能是合法的DHCP Server R1分配的,也可能是非法的DHCP Server R2分配的。 |
4. 在sw1和sw2上配置DHCP Snooping ,來解決DHCP的欺騙攻擊。确保R3和R4獲取的IP地址一定是合法的DHCP Server分配的地址。
|
SW1 SW2: ip dhcp snooping ip dhcp snooping vlan 1 interface range f0/11-12 ip dhcp snooping trust //配置SW1-SW2之間的Trunk為信任的接口 |
|
SW1: interface f0/1 ip dhcp snooping trust //sw1的F0/1接口連接合法的DHCP Server,配置為信任的接口。 |
|
R1 R2: ip dhcp relay information trust-all //讓R1 R2信任被中繼的DHCP的消息。 |
5. 将R3和R4的接口shutwn/no shutdown,觀察R3和R4獲取的ip地址。
|
R3 R4: interface Ethernet0 no shutdown ip address dhcp R3#show ip inter brief Interface IP-Address OK? Method Status Protocol Ethernet0 1.1.1.5 YES DHCP up up R4#show ip inter brief Interface IP-Address OK? Method Status Protocol Ethernet0 1.1.1.6 YES DHCP up up 解析:此時R3和R4獲取的IP地址,一定是合法的DHCP Server R1分配的地址。 |
6. 在sw2的F0/1接口開啟IP源保護。
|
SW2: interface FastEthernet0/1 ip verify source //開啟源保護後,檢查從F0/1接口收到數據包的源IP地址,與SW2上的綁定表中的IP地址是否一緻,一緻轉發,不一緻,Drop掉。 interface FastEthernet0/1 switchport mode access switchport port-security ip verify source port-security //此種方法開啟源保護,檢查從F0/1接口收到數據包的源IP地址與Mac地址,與SW2上的綁定表中的IP地址與Mac地址是否一緻,一緻轉發,不一緻,Drop掉。 SW2#show ip source binding //通過DHCP Snooping動态形成的綁定表 MacAddress IpAddress Lease(sec) Type VLAN Interface ------------------ --------------- ---------- ------------- ---- -------------------- 00:50:73:6B:CD:2A 1.1.1.5 86385 dhcp-snooping 1 FastEthernet0/1 00:10:7B:80:47:C5 1.1.1.6 86385 dhcp-snooping 1 FastEthernet0/2 |
7. 如果此時配置R3的接口IP地址為1.1.1.30/24,此時在R3上ping R4的地址,是否可以通信?在SW2上靜态綁定,在R3上ping R4可以通信。
|
R3: interface Ethernet0 ip address 1.1.1.30 255.255.255.0 R3#ping 1.1.1.6 Type escape sequence to abort. ..... //此時是不通的。 |
|
SW2# ip source binding 0050.736b.cd2a vlan 1 1.1.1.30 interface f0/1 //靜态綁定 SW2#show ip source binding MacAddress IpAddress Lease(sec) Type VLAN Interface ------------------ --------------- ---------- ------------- ---- -------------------- 00:50:73:6B:CD:2A 1.1.1.30 infinite static 1 FastEthernet0/1 00:10:7B:80:47:C5 1.1.1.6 85893 dhcp-snooping 1 FastEthernet0/2 |
8. 在sw2上啟用DAI。配置R1接口的MAC地址為a.a.a,此時在R3上ping R4的地址,是否可以通信?
|
SW2: ip arp inspection vlan 1 04:33:53: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa0/1, vlan 1.([000a.000a.000a/1.1.1.30/0000.0000.0000/1.1.1.6/04:33:53 UTC Mon Mar 1 1993]) //此時是不通的。SW2上啟用DAI後,接口均變成unstrust接口,SW2檢查從untrust接口收到的ARP的消息是否與SW2上的綁定表一緻。 |
9. 在sw1和sw2上配置RSPAN,監控sw1的F0/1接口雙向流量,在sw2上将監控流量推送至F0/10接口。
|
SW1: vlan 200 remote-span monitor session 1 source interface Fa0/1 monitor session 1 destination remote vlan 200 reflector-port Fa0/30 |
|
SW2: vlan 200 remote-span monitor session 1 source remote vlan 200 monitor session 1 destination interface f0/10 |
感謝關注WOLFLAB網絡實驗室,我麼定期都會更新更多關于CCNP的技術
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
