DHCP Snooping + DAI + IPSG
(2012-08-28 14:19:02)
轉載▼
标簽: 監聽dhcpsnoopingdaiipsg | 分類: Cisco交換入門 |
DHCP Snooping + DAI + IPSG實驗
因為DHCP Snooping的監聽綁定表是DAI和IPSG的基礎,是以在配置DAI和IPSG之前需要配置DHCP Snooping。
配置R1為DHCP Server,R2、R4為DHCP Client,R3為靜态IP位址:
R1(config)#int f0/0
R1(config-if)#no sh
R1(config)#service dhcp
R1(config)#ip dhcp pool DHCP_POOL
R1(config-config)#network 172.16.1.0 255.255.255.0
R1(config)#ip dhcp excluded-address 172.16.1.1 172.16.1.1
R1(config)#ip dhcp excluded-address 172.16.1.3 172.16.1.3
R2(config)#int f0/0
R2(config-if)#ip add dhcp
R2(config-if)#no sh
R3(config)#int f0/0
R3(config-if)#ip add 172.16.1.3 255.255.255.0
R3(config-if)#no sh
R4(config)#int f0/0
R4(config-if)#ip add dhcp
R4(config-if)#no sh
SW1(config)#int port-channel 1
SW1(config)#int range f0/11- 12
SW1(config-if)#switchport encapsulation dot1q
SW1(config-if)#switchport mode trunk
SW1(config-if)#channel-group 1 mode on
SW2(config)#int port-channel 1
SW2(config)#int range f0/11- 12
SW2(config-if)#switchport encapsulation dot1q
SW2(config-if)#switchport mode trunk
SW2(config-if)#channel-group 1 mode on
配置DHCP Snooping:
SW1(config)#ip dhcp snooping
SW1(config)#ip dhcp snooping vlan 1
SW1(config)#ip dhcp snooping information option allow-untrusted
//配置SW1能從非信任端口接收帶Option 82的DHCP封包
SW1(config)#ip dhcp snooping verify mac-address
SW1(config)#ip dhcp snooping database flash:dhcp_snooping.db //DHCP監聽綁定表儲存在Flash中
SW1(config)#ip dhcp snooping database write-delay 15 //DHCP監聽綁定表更新後等待15秒再儲存
SW1(config)#ip dhcp snooping database timeout 15 //DHCP監聽綁定表儲存失敗後,隻重新嘗試15秒
SW1#ip dhcp snooping binding 0023.04e5.b221 vlan 1 172.16.1.3 int f0/3 expiry
4294967295 //手工添加綁定,因為靜态IP位址不會自動生成DHCP監聽綁定條目,它也是DAI和IPSG的基礎
int f0/1
SW1(config-if)#ip dhcp snooping trust
SW1(config)#int range f0/11 - 12
SW1(config-if)#ip dhcp snooping limit rate 20 //限制非信任端口每秒鐘能接受的DHCP資料包為20個
SW2(config)#ip dhcp snooping
SW2(config)#ip dhcp snooping vlan 1
SW2(config)#ip dhcp snooping verify mac-address
SW2(config)#ip dhcp snooping database flash:dhcp_snooping.db
SW2(config)#ip dhcp snooping database write-delay 15
SW2(config)#ip dhcp snooping database timeout 15
SW1#ip dhcp snooping binding 0023.04e5.b221 vlan 1 172.16.1.3 int f0/3 expiry
4294967295
SW2(config)#int range f0/11 - 12
SW2(config-if)#ip dhcp snooping trust
SW2(config)#int range f0/3 - 4
SW2(config-if)#ip dhcp snooping limit rate 10
R1(config)#ip dhcp relay information trust-all //配置DHCP Server能接收Option 82為0的DHCP封包
實驗調試
SW1#show ip dhcp snooping binding
配置DAI:
DAI根據DHCP監聽綁定表來工作;DAI也分為信任端口和非信任端口,預設所有端口都為非信任端口;DAI檢查所有非信任端口請求和響應的ARP資料包,對不符合DHCP監聽綁定表要求的ARP資料包丢棄。是以交換機中必須要有所有非信任端口主機的監聽綁定條目,否則該主機将不能通信。這将使所有主機都被迫采用DHCP擷取IP位址(或管理者指定的IP位址),因為DHCP監聽綁定表已經對其進行了綁定,可以有效地防止使用者私自更改指定IP位址。
SW1(config)#ip arp inspection vlan 1
SW1(config)#ip arp inspection //檢查ARP(請求和響應)封包
中的源MAC位址、目的MAC位址、源IP位址和DHCP Snooping綁定中的資訊是否一緻
SW1(config)#int f0/1
SW1(config-if)#ip arp inspection trust
SW1(config)#int range f0/11 - 12
SW1(config-if)#ip arp inspection limit none
SW2(config)#ip arp inspection vlan 1
SW2(config)#ip arp inspection validate src-mac dst-mac ip
SW2(config)#int range f0/11 - 12
SW2(config-if)#ip arp inspection trust
SW2(config)#int range f0/3 - 4
SW2(config-if)#ip arp inspection limit 10
實驗調試
SW1#show ip arp inspection
SW1#show ip arp inspection interfaces
配置IPSG:
預設時,IPSG不檢查所有接口的資料包,是以IPSG隻需要在不信任接口上進行配置即可。
SW1(config)#int f0/2
SW1(config-if)#ip verify source port-security
SW2(config)#int range f0/3 - 4
SW2(config-if)#ip verify source port-security
SW2#ip source binding 0023.04e5.b221 vlan 1 172.16.1.3 int f0/3
//手工在IP源綁定表中添加靜态IP位址記錄
說明:使用“ip dhcp snooping binding”指令手工建立DHCP監聽綁定條目時,會自動在IP源綁定表中建立記
然而使用“ip souce binding”指令手工建立IP源綁定條目時,則不會在DHCP監聽綁定表中建立記錄。
配置端口安全特性:
由于試驗中開啟了“源IP位址和源MAC過濾”,是以同時要配置端口安全功能。
int f0/2
switchport mode access
switchport port-security
switchport port-security max-mac-address 1
switchport port-security mac-address sticky
switchport port-security violation shutdown
int range f0/3 - 4
switchport mode access
switchport port-security
switchport port-security max-mac-address 1
switchport port-security mac-address sticky
switchport port-security violation shutdown
IPSG的2種過濾類型:
1.源IP位址過濾:根據源IP位址對IP流量進行過濾,隻有當源IP位址與源綁定條目比對時IP流量才允許通過。
②當交換機隻使用“源IP位址過濾”時,IP源防護功能與端口安全功能是互相獨立的關系。
2.源IP和源MAC位址過濾:根據源IP位址和源MAC位址對IP流量進行過濾,隻有當源IP位址和源MAC位址都與IP源綁
①接口下“ip verify source port-security”指令,表示開啟“源IP位址和源MAC過濾”模式;
啟端口安全功能才能完成源IP位址和源MAC位址過濾;