DHCP Snooping + DAI + IPSG

(2012-08-28 14:19:02)

​

轉載▼​​

标簽：  ​​監聽​​ ​​dhcp​​ ​​snooping​​ ​​dai​​ ​​ipsg​​

分類： ​​Cisco交換入門​​

DHCP Snooping + DAI + IPSG實驗

因為DHCP Snooping的監聽綁定表是DAI和IPSG的基礎，是以在配置DAI和IPSG之前需要配置DHCP Snooping。

​​

​​

配置R1為DHCP Server，R2、R4為DHCP Client，R3為靜态IP位址：

R1(config)#int f0/0

R1(config-if)#no sh

R1(config)#service dhcp

R1(config)#ip dhcp pool DHCP_POOL

R1(config-config)#network 172.16.1.0 255.255.255.0

R1(config)#ip dhcp excluded-address 172.16.1.1 172.16.1.1

R1(config)#ip dhcp excluded-address 172.16.1.3 172.16.1.3

R2(config)#int f0/0

R2(config-if)#ip add dhcp

R2(config-if)#no sh

R3(config)#int f0/0

R3(config-if)#ip add 172.16.1.3 255.255.255.0

R3(config-if)#no sh

R4(config)#int f0/0

R4(config-if)#ip add dhcp

R4(config-if)#no sh

SW1(config)#int port-channel 1

SW1(config)#int range f0/11- 12

SW1(config-if)#switchport encapsulation dot1q

SW1(config-if)#switchport mode trunk

SW1(config-if)#channel-group 1 mode on

SW2(config)#int port-channel 1

SW2(config)#int range f0/11- 12

SW2(config-if)#switchport encapsulation dot1q

SW2(config-if)#switchport mode trunk

SW2(config-if)#channel-group 1 mode on

配置DHCP Snooping：

SW1(config)#ip dhcp snooping       

SW1(config)#ip dhcp snooping vlan 1       

SW1(config)#ip dhcp snooping information option allow-untrusted

                                                 //配置SW1能從非信任端口接收帶Option 82的DHCP封包

SW1(config)#ip dhcp snooping verify mac-address    

SW1(config)#ip dhcp snooping database flash:dhcp_snooping.db  //DHCP監聽綁定表儲存在Flash中

SW1(config)#ip dhcp snooping database write-delay 15    //DHCP監聽綁定表更新後等待15秒再儲存

SW1(config)#ip dhcp snooping database timeout 15   //DHCP監聽綁定表儲存失敗後，隻重新嘗試15秒

SW1#ip dhcp snooping binding 0023.04e5.b221 vlan 1 172.16.1.3 int f0/3 expiry

   4294967295  //手工添加綁定，因為靜态IP位址不會自動生成DHCP監聽綁定條目，它也是DAI和IPSG的基礎

int f0/1

SW1(config-if)#ip dhcp snooping trust       

SW1(config)#int range f0/11 - 12

SW1(config-if)#ip dhcp snooping limit rate 20   //限制非信任端口每秒鐘能接受的DHCP資料包為20個

SW2(config)#ip dhcp snooping

SW2(config)#ip dhcp snooping vlan 1

SW2(config)#ip dhcp snooping verify mac-address

SW2(config)#ip dhcp snooping database flash:dhcp_snooping.db

SW2(config)#ip dhcp snooping database write-delay 15

SW2(config)#ip dhcp snooping database timeout 15

SW1#ip dhcp snooping binding 0023.04e5.b221 vlan 1 172.16.1.3 int f0/3 expiry

   4294967295

SW2(config)#int range f0/11 - 12

SW2(config-if)#ip dhcp snooping trust

SW2(config)#int range f0/3 - 4

SW2(config-if)#ip dhcp snooping limit rate 10

R1(config)#ip dhcp relay information trust-all  //配置DHCP Server能接收Option 82為0的DHCP封包

實驗調試

SW1#show ip dhcp snooping binding       

配置DAI：

DAI根據DHCP監聽綁定表來工作；DAI也分為信任端口和非信任端口，預設所有端口都為非信任端口；DAI檢查所有非信任端口請求和響應的ARP資料包，對不符合DHCP監聽綁定表要求的ARP資料包丢棄。是以交換機中必須要有所有非信任端口主機的監聽綁定條目，否則該主機将不能通信。這将使所有主機都被迫采用DHCP擷取IP位址(或管理者指定的IP位址)，因為DHCP監聽綁定表已經對其進行了綁定，可以有效地防止使用者私自更改指定IP位址。

SW1(config)#ip arp inspection vlan 1       

SW1(config)#ip arp inspection          //檢查ARP(請求和響應)封包

                        中的源MAC位址、目的MAC位址、源IP位址和DHCP Snooping綁定中的資訊是否一緻

SW1(config)#int f0/1

SW1(config-if)#ip arp inspection trust       

SW1(config)#int range f0/11 - 12

SW1(config-if)#ip arp inspection limit none       

SW2(config)#ip arp inspection vlan 1

SW2(config)#ip arp inspection validate src-mac dst-mac ip

SW2(config)#int range f0/11 - 12

SW2(config-if)#ip arp inspection trust

SW2(config)#int range f0/3 - 4

SW2(config-if)#ip arp inspection limit 10

實驗調試

SW1#show ip arp inspection       

SW1#show ip arp inspection interfaces       

配置IPSG：

預設時，IPSG不檢查所有接口的資料包，是以IPSG隻需要在不信任接口上進行配置即可。

SW1(config)#int f0/2

SW1(config-if)#ip verify source port-security       

SW2(config)#int range f0/3 - 4

SW2(config-if)#ip verify source port-security

SW2#ip source binding 0023.04e5.b221 vlan 1 172.16.1.3 int f0/3

                                                           //手工在IP源綁定表中添加靜态IP位址記錄

說明：使用“ip dhcp snooping binding”指令手工建立DHCP監聽綁定條目時，會自動在IP源綁定表中建立記

然而使用“ip souce binding”指令手工建立IP源綁定條目時，則不會在DHCP監聽綁定表中建立記錄。

配置端口安全特性：

由于試驗中開啟了“源IP位址和源MAC過濾”，是以同時要配置端口安全功能。

int f0/2

switchport mode access

switchport port-security

switchport port-security max-mac-address 1

switchport port-security mac-address sticky

switchport port-security violation shutdown

int range f0/3 - 4

switchport mode access

switchport port-security

switchport port-security max-mac-address 1

switchport port-security mac-address sticky

switchport port-security violation shutdown

IPSG的2種過濾類型：

1.源IP位址過濾:根據源IP位址對IP流量進行過濾，隻有當源IP位址與源綁定條目比對時IP流量才允許通過。

 ②當交換機隻使用“源IP位址過濾”時，IP源防護功能與端口安全功能是互相獨立的關系。

2.源IP和源MAC位址過濾:根據源IP位址和源MAC位址對IP流量進行過濾，隻有當源IP位址和源MAC位址都與IP源綁

 ①接口下“ip verify source port-security”指令，表示開啟“源IP位址和源MAC過濾”模式；

  啟端口安全功能才能完成源IP位址和源MAC位址過濾；