DHCP协议总结彩世界彩票注册平台官网
分类:彩世界彩票注册平台官网

step9、保存配置

  • DHCP报文泛红攻击
  • 仿制假冒DHCP报文攻击
  • DHCP仿制假冒者攻击
  • DHCP server拒绝服务攻击
  • 仿制假冒DHCP服务器攻击

在古板的DHCP动态分配IP地址进程中,DHCP Server不可能依照DHCP央求报文感知到顾客的现实物理地点,以至同一VLAN的客户获得的IP地址所负有的权能是一模二样的。由于互连网经理不可能对同一VLAN中一定的客户实行实用的决定,即不可能决定客户端对互连网财富的拜见,那将给互连网的安控建议了严俊的挑衅。

此直接入层就以交流机 ACC1 ,主题调换机 CORE 和言语路由器 Router ( A奥迪Q3类别路由器) 为例。

DHCP服务已是互连网中至关重要的服务之一。随着DHCP服务的安插,一些有惊无险难点也日益暴表露一些主题材料:

Option82饱含多少个常用子选项Circuit ID和Remote ID。此中Circuit ID子选项关键用来标志顾客端所在的VLAN、接口等音讯,Remote ID子选项首要用来标记客户端连着的配备,平日为设备的MAC地址。

2、各种机关职业划分到三个 VLAN 中,部门间的工作在基本沟通机上三层互通。

DHCP Snooping是DHCP(Dynamic Host Configuration Protocol)的一种安全特点,用于保障DHCP客商端从官方的DHCP服务器获取IP地址,并记录DHCP客商端IP地址与MAC地址等参数的应和关系,制止网络上针对DHCP攻击。

4、处于安全着想,幸免恶意的DHCP server接入到互连网中,所以,在连接侧端口日常会配备dhcp snooping 不相信赖端口,在上行口上只怕DHCP-server连接的沟通机端口上安插dhcp snooping信赖端口。进而让dhcp client能够从科学的dhcp server获得ip地址。

彩世界彩票注册平台官网 1

3. DHCP仿制假冒者攻击:

此意义供给整合IPSG来兑现:

趁着网络规模更为大,通过伪造源IP地址实践的互连网攻击(简称IP地址期骗攻击)也慢慢扩张。一些攻击者通过伪造合法客商的IP地址获取网络访问权限,违法访谈网络,以至导致合法客户不可能访问互连网,只怕消息败露。IPSG针对IP地址欺诈攻击提供了一种防范机制,能够有效阻止此类网络攻击行为。
贰个超人的行使IPSG防攻击的亲自去做如图1所示,违法主机伪造合法主机的IP地址获取上网权限。此时,通过在Switch的连结顾客侧的接口或VLAN上配置IPSG效能,Switch能够对步入接口的IP报文进行反省,扬弃违规主机的报文,进而阻碍此类攻击。

彩世界彩票注册平台官网 2

IPSG利用绑定表(源IP地址、源MAC地址、所属VLAN、入接口的绑定关系)去相配检查二层接口上抽出的IP报文,唯有相称绑定表的报文才同意通过,别的报文将被抛弃。

彩世界彩票注册平台官网 3

绑定表生成后,IPSG基于绑定表向钦命的接口可能钦点的VLAN下发ACL,由该ACL来同盟检查有着IP报文。主机发送的报文,唯有相称绑定表才会同意通过,不相称绑定表的报文都将被吐弃。当绑定表消息变化时,设备会再度下发ACL。缺省景观下,假使在一向不绑定表的事态下使能了IPSG,设备会同意IP合同报文通过,可是会拒绝全体的多寡报文。

IPSG只特别检查主机发送的IP报文,对于ARP、PPPoE等非IP报文,IPSG不做合作检查。

IPSG达成原理图

彩世界彩票注册平台官网 4

1、DHCP用于分配ip地址给主机。

step3:配置接口与VLAN

5.仿冒DHCP服务器攻击

此功效须求陈设DHCP 信赖效率来促成:

安插接口信赖状态

背景音讯

如图所示场景中,为使DHCP客户端能通过合法的DHCP服务器获取IP地址,需将与处理人信任的DHCP服务器直接或直接连接的设备接口设置为信赖接口(如图中的if0),其余接口设置为非信赖接口(如图中的if2)。进而保障DHCP顾客端只可以从官方的DHCP服务器获取IP地址,专擅架设的DHCP Server仿制假冒者无法为DHCP顾客端分配IP地址。
在连年客商的接口或VLAN下使能DHCP Snooping功用之后,需将连接DHCP服务器的接口配置为“信赖”模式,两个相同的时候生效设备即能够生成DHCP Snooping动态绑定表。

彩世界彩票注册平台官网 5

化解办法:
请在二层互连网中的接入设备上实施以下步骤。
配备接口为“信赖”状态,可在接口视图或VLAN视图下试行。
接口视图下:
推行命令interface interface-type interface-number,步向接口视图。
试行命令dhcp snooping trusted,配置接口为“信赖”接口。
缺省事态下,接口的动静为“非信赖”状态。
VLAN视图下:
实行命令vlan vlan-id,进入VLAN视图。
推行命令dhcp snooping trusted interface interface-type interface-number ,配置接口为“信赖”接口。
缺省景色下,接口的情事为“非信任”状态。
在VLAN视图下实行此命令,则下令功效仅对步入该VLAN的接口收到的属于此VLAN的DHCP报文生效;在接口下推行该命令,则下令功用对该接口接收到的保有DHCP报文生效。

3、DHCP乞求报文,第贰回是广播报文,因为还不知晓DHCP server的MAC地址。后续续约的报文是单播发送。然而,到了7/8的年华时还尚未续约成功的话,则改用广播发送(待确认)。

成功接口和VLAN的布局后,能够透过以下命令查看配置结果,展现消息表明可查看,

4.DHCP server拒绝服务攻击

若在互联网中留存DHCP客商恶意申请IP地址,将会产生IP地址池中的IP地址快捷耗尽以至DHCP Server不可能为别的合法顾客分配IP地址。另一方面,DHCP Server平常仅依据CHADD安德拉(client hardware address)字段来确认顾客端的MAC地址。假若攻击者通过持续更动DHCP Request报文中的CHADDMurano字段向DHCP Server申请IP地址,将会变成DHCP Server上的地址池被耗尽,进而不能为其余常规顾客提供IP地址。
为了防守有些端口的DHCP客商恶意申请IP地址,可配备接口允许学习的DHCP Snooping绑定表项的最大个数来支配上线顾客的个数,当顾客数到达该值时,则此外客商将不可能透过此接口成功申请到IP地址。为了幸免攻击者不断变动DHCP Request报文中的CHADDTiguan字段进行抨击,可使能检查评定DHCP Request报文帧头MAC地址与DHCP数据区中CHADD福特Explorer字段是或不是同样的效劳,同样则转向报文,不然甩掉。

消除办法:
配备接口允许学习的DHCP Snooping绑定表项的最大个数,可在系统视图、VLAN视图或接口视图下布署。

实践命令dhcp snooping max-user-number max-number vlan { vlan-id1 [ to vlan-id2 ] } &<1-10>,配置设施允许学习的DHCP Snooping绑定表项的最大个数。
试行该命令后,设备具有的接口允许学习的DHCP Snooping绑定表项之和为该命令所安排的值。

在VLAN可能接口视图下:
执行命令dhcp snooping max-user-number max-number,配置接口允许学习的DHCP Snooping绑定表项的最大个数。
若在VLAN视图下实施该命令,则VLAN内具备的接口接入的客户最大数为该命令所安插的值。

5、dhcp snooping option 82的用途,

Mini园区中,分为三个单位,各样单位相互独立,却又通讯,进行组网如下图。

1.DHCP报文泛红攻击:

在DHCP网络碰着中,若存在DHCP客户短期内向设备发送大批量的DHCP报文,将会对配备的质量形成巨大的撞击导致大概会形成设备无法平常工作。通过使能对DHCP报文上送DHCP报文管理单元的速率实行检查实验功效将能够行得通防护DHCP报文泛洪攻击。

消除办法:
布署范围DHCP报文的上送速率,可在系统视图、VLAN视图或接口视图下进行。

推行命令dhcp snooping check dhcp-rate enable,使能对DHCP报文上送DHCP报文管理单元的速率举办检查测验作用。
缺省景观下,未使能对DHCP报文上送DHCP报文管理单元的速率进行检查测量检验作用。

推行命令dhcp snooping check dhcp-rate rate,配置DHCP报文上送DHCP报文管理单元的最大允许速率。
缺省状态下,全局DHCP报文上送DHCP报文管理单元的最大允许速率为100pps,接口下DHCP报文上送DHCP报文管理单元的最大允许速率为在系统视图下安顿的值。

2、DHCP报文也分为央浼、应答。

计划设施管理IP地址后,能够经过管制IP远程登入设备,下边以调换机CORE为例表明配置 管理IP和Telnet的方法。

2.仿制假冒DHCP报文攻击:

在DHCP互联网景况中,若攻击者仿冒合法顾客的DHCP Request报文发往DHCP Server,将会导致顾客的IP地址租约到期今后不可见及时放出,以致合法顾客无法使用该IP地址;若攻击者仿制假冒合法顾客的DHCP Release报文发往DHCP Server,将会导致客户格外下线。
在生成DHCP Snooping绑定表后,设备可依据绑定表项,对DHCP Request报文或DHCP Release报文举办相配检查,唯有相称成功的报文设备才将其转会,不然将废弃。这将能有效的卫戍不法客商通过发送伪造DHCP Request或DHCP Release报文冒充合法客商续租或释放IP地址。

解决办法:
使能对DHCP报文进行绑定表相称检查的法力,可在系统视图、VLAN视图或接口视图下张开布局。

实施命令dhcp snooping check dhcp-request enable vlan { vlan-id1 [ to vlan-id2 ] }&<1-10>,使能对从钦点VLAN内上送的DHCP报文进行绑定表相配检查的效用。
缺省状态下,未使能对DHCP报文进行绑定表相配检查的坚守。

在VLAN或然接口视图下:
推行命令dhcp snooping check dhcp-request enable,使能对DHCP报文举行绑定表相称检查的法力。
缺省状态下,未使能对DHCP报文实行绑定表相配检查的成效。

途观FC 3046概念了DHCP Relay Agent Information Option(Option 82),该选取记录了DHCP Client的职位消息。DHCP Snooping设备或DHCP Relay通过在DHCP伏乞报文中增添Option82选项,将DHCP Client的标准物理地点新闻传递给DHCP Server,进而使得DHCP Server可感到主机分合作适的IP地址和其他布署音信,完毕对顾客端的安控。

在CORE上配备DHCP Server,使单位A和机构B 的顾客都 能获取到准确的IP地址。 以下以部门A为例,表达DHCP Server的布局步骤。

此处要静心的是:DHCP snooping 只是会动态的变动绑定表,供给结合别的功效和特点来兑现平安全防止护。

在得到品种后,首先的就是对品种进展剖释:

在PC的顶点仿真软件界面按Connect键,直到出现如下新闻,提醒客户设置签到密码。

彩世界彩票注册平台官网 6

彩世界彩票注册平台官网 7

彩世界彩票注册平台官网 8

在大家搞好互联网数据安顿后,接下去就是要来配置调换机了,比非常多有爱人的难点就在此,这里面弱电君尽量详细些,我们来拜谒要配置沟通机需求这几个步骤。

彩世界彩票注册平台官网 9

彩世界彩票注册平台官网 10

彩世界彩票注册平台官网 11

造成上述配置之后,部门A的顾客就可以从官方的DHCP服务器获取IP地址,内网私接 的羊肠小道由器分配地址不会纷扰到内网不荒谬客户。

step2:配置处理IP和Telnet

在DHCP服务器配置完成后,要求安装极端计算机网卡为自动获取地址, 那样终端技能健康从DHCP服务器获取到地点,符合规律上网。

三、交流机配置步骤

在配置出口路由器此前需求计划如下数据:公网IP地址:202.101.111.2/30, 公网网关地址:202.101.111.1,DNS地址:202.101.111.195,这么些参数在 申请宽带的时候由运行商提供,实际互连网中请以运转商提供的多寡为准。

二、分析

一、案例须求拓扑图

为了防范部门内顾客私下改变IP地址后攻击网络,在连片沟通机开启DHCP Snooping 效能后,还索要敞开IP报文字笔迹查证查功能,具体安排以ACC1为例。

用console通讯电缆连接沟通机与PC。若PC无串口,供给动用USB接口转串口的转接线。(console线常常叫做配置线,是cisco HUAWEI H3C 锐捷 迈普 等互连网设施商家的通用线缆)。

彩世界彩票注册平台官网 12

布置了DHCP成效之后,部门内顾客主机能够自动得到地址。不过为了防御职员和工人在内网 私自接贰个小路由器并开启DHCP自动分配地址的意义,导致内网合法客户获得到了私 接的小径由器分配的地址而不可能符合规律上网,还亟需安排DHCP Snooping功用。

那般ACC1从VLAN10收到报文后会将报文与动态绑定表的表项举行相配,放行相配的 报文,放弃不包容的报文。假如不想对任何VLAN收到的报文进行检讨,能够只在连接 有个别终端的接口上开启IP报文字笔迹核查查职能。

step4、配置DHCP

在Mini园区中,S2700&S3700家常安排在网络的接入层,S5700&S6700常备安插在网络的基本,出口路由器平时选择A福特Explorer种类路由器。

标准的调换机配置是亟需那柒个步骤,算是相比全的,遵照步骤配置能够裁减出错的机率。

彩世界彩票注册平台官网 13

step8、业务验证

彩世界彩票注册平台官网 14

本身人可以依据下列流程计划各配备的的数据,连通园区内部客商,并使内部客商可访谈外网。

1、接入交换机与基本交流机通过 Eth - Trunk 组网保证可相信性。

彩世界彩票注册平台官网 15

彩世界彩票注册平台官网 16

彩世界彩票注册平台官网 17

step1:登入沟通机

三、数据布署

彩世界彩票注册平台官网 18

通过命令行配置的多少是临时的。假诺不保留,调换机重启后这一个布署都会甩掉。 假使要使当前安插在沟通机重启后仍旧有效,供给将眼下陈设保存为布局文件。

以下以部门A为例,表达DHCP Snooping的布置进程。

有了那些手续大家在配置的历程中就不会窥豹一斑。

彩世界彩票注册平台官网 19

彩世界彩票注册平台官网 20

彩世界彩票注册平台官网 21

彩世界彩票注册平台官网 22

彩世界彩票注册平台官网 23

step7、配置DHCP Snooping和IPSG

step5、配置中央交换机路由

姣好报到密码设置后,客商便能够布署调换机,需求扶植可随即键入“?”。

彩世界彩票注册平台官网 24

执行 display eth - trunk 命令检查ACC1上的Eth-Trunk接口配置结果。

彩世界彩票注册平台官网 25

step6、配置出口路由器

若是网络中利用静态分配IP地址,为严防客商私行修改地址攻击网络, 能够配备IP MAC绑定。

彩世界彩票注册平台官网 26

彩世界彩票注册平台官网 27

3、大旨交流机作为 DHCP Server ,为园区顾客分配IP地址 。

前方大家曾数次提到有关调换机配置命令,有弱电VIP本事群朋友提到三个互联网项目从起先到竣事怎么样来安插交换机的详细步骤?那方面真正以前涉嫌的少之又少,有为数不菲相恋的人关系希望能举实例,那期大家透过One plus的实例来详细讲授三个安然无恙的互连网项目从筹算到调换机配置的详细进程。

在配备此前,需根据上边包车型客车报表企图好数据。

4、接入沟通机上布署DHCP Snooping功效,防止内网顾客私接小路由器分配IP地址; 同期布署IPSG成效,幸免内网顾客私下退换IP地址。

本文由彩世界注册首页发布于彩世界彩票注册平台官网,转载请注明出处:DHCP协议总结彩世界彩票注册平台官网

上一篇:中国新兴人工智能芯片企业获得高额融资,机器 下一篇:没有了
猜你喜欢
热门排行
精彩图文