路由器DHCP保护-(DHCP保护)
来源:191路由网 2022-10-17 07:24:07
企业当中的IP地址选用DHCP服务器下发,避免在互联网里出现别的不合法的DHCP服务器下发IP地址,进而保障网络安全,必须配置DHCP Snooping对策。
二、试验拓扑结构实验操作中AR1为合法合规DHCP服务器,AR2为不合法的DHCP服务器。DHCP服务项目配置基本一致,区别是合理的DHCP服务器配置的dns是8.8.8.8,不合法的DHCP服务器配置的dns是4.4.4.4。
三、IP整体规划<Huawei>sys
[Huawei]sys SW1
5.1.1.2、把对应的1口和2口区划到vlan10,3口区划到20[SW1]vlan batch 10 20
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 10
[SW1]int g0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port default vlan 10
[SW1]int g0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
5.1.1.3、配置vlan10和vlan20的三层虚似插口vlanif的详细地址,做为相匹配vlan的网关地址[SW1-GigabitEthernet0/0/3]port default vlan 20
[SW1]int vlan 10
[SW1-Vlanif10]ip addr 192.168.10.254 24
[SW1-Vlanif10]int vlan 20
5.1.1.4、查询配置[SW1-Vlanif20]ip address 10.10.1.2 24
查看vlan及端口号
[SW1]dis port vlan active
查询三层虚似接口地址
[SW1]dis ip int brief
<Huawei>sys
[Huawei]sys AR1
[AR1]int g0/0/0
5.1.3在不合法的无线路由器AR2上配置5.1.3.1、配置插口IP地址为192.168.10.2 24[AR1-GigabitEthernet0/0/0]ip address 10.10.1.1 24
<Huawei>sys
[Huawei]sys AR2
[AR2]int g0/0/2
5.1.4检测直联路由器[AR2-GigabitEthernet0/0/2]ip address 192.168.10.2 24
合理合法无线路由器AR1到三层交换机vlan20的网关ipvlanif 20
<AR1>ping 10.10.1.2
违法无线路由器AR2到三层交换机vlan10的网关ipvlanif 10
<AR2>ping 192.168.10.254
5.2.2查询AR1的默认路由[AR1]ip route-static 192.168.10.0 24 10.10.1.2
<AR1>dis ip routing-table
由图中悉知,在AR1上面有抵达网络交换机vlan10所属的子网192.168.10.0/24的静态路由。
5.2.3、在网络交换机SW1上查询默认路由<SW1>dis ip routing-table
由图中悉知,在SW1上面有抵达无线路由器AR1所属10.10.1.0/24子网的直联路由器。
因此由上边的2个默认路由(无线路由器AR1和网络交换机SW1)悉知,如今PC1配置一个静态IP详细地址192.168.1.3/24能够ping通无线路由器AR1的10.10.1.1/24详细地址
PC>ping 10.10.1.1
<AR2>dis ip routing-table
由图中悉知,在AR2中没有抵达AR1子网10.10.1.0/24的路由器,必须创建一条抵达AR1里的缺省路由,下一跳为vlan10的虚似插口vlanif的详细地址10.10.1.254,那也是企业当中私拉乱建配置无线路由器常见恰当方式。
5.2.5、在AR2上配置缺省路由[AR2]ip route-static 0.0.0.0 0.0.0.0 192.168.10.254
5.2.6、查询AR2的默认路由
这时再检测AR2到AR1的链接
[AR2]ping 10.10.1.1
这时各大网站链接的最底层早已跑通。
5.3、配置DHCP5.3.1、在无线路由器AR1上配置5.3.1.1、配置DHCP服务项目[AR1]dhcp en
[AR1]ip pool vlan10
[AR1-ip-pool-vlan10]network 192.168.10.0 mask 24
[AR1-ip-pool-vlan10]gateway-list 192.168.10.254
5.3.1.2、在无线路由器与交换机连接的插口上打开全局性dhcp模式[AR1-ip-pool-vlan10]dns-list 8.8.8.8
dhcp select global,含意启用一个全局模式下创建的地址池(ip pool) 网关ip。
[AR1]int g0/0/0
5.3.2 在网络交换机上配置5.3.2.1在网络交换机上打开dhcp代理作用[AR1-GigabitEthernet0/0/0]dhcp select global
5.3.2.2在网络交换机上vlan10的虚似插口vlanif 10上配置代理商[SW1]dhcp enable
[SW1]int vlan 10
[SW1-Vlanif10]dhcp select relay
5.3.3检测[SW1-Vlanif10]dhcp relay server-ip 10.10.1.1
这时PC1能通过DHCP正常的得到AR1下发的IP地址
到此,DHCP服务器构建结束。
下边有些人在企业当中构建了不合法的DHCP服务器AR2.
5.4、在AR2上都配置同样的DHCP5.4.1这一配置和AR1配置不同类型的是dns,来区别是哪一个DHCP服务器[AR2]dhcp enable
[AR2]ip pool vlan10
[AR2-ip-pool-vlan10]gateway-list 192.168.10.254
[AR2-ip-pool-vlan10]network 192.168.10.0 mask 255.255.255.0
5.4.2、在无线路由器与交换机连接的插口上打开全局性dhcp模式[AR2-ip-pool-vlan10]dns-list 4.4.4.4
dhcp select global,含意启用一个全局模式下创建的地址池(ip pool) 网关ip。
[AR2-ip-pool-vlan10]int g0/0/2
5.5、检测得到IP地址5.5.1、PC1打开DHCP得到IP地址作用[AR2-GigabitEthernet0/0/2]dhcp select global
如今其应当在同一vlan(vlan10)里的DHCP服务器得到Ip,也就是从AR2中取得,因其间距PC1近,因此回应的高效。
由图中悉知,dns是4.4.4.4是违法DHCP服务器AR2给予地址。
5.5.2、在网络交换机全局模式下打开dhcp snooping 作用[SW1]dhcp snooping enable
5.6、认证[SW1]dhcp snooping enable vlan 10
在PC1上先消除DHCP得到地址
PC>ipconfig /release
重新得到
PC>ipconfig /renew
由图中悉知,PC1所获得的DNS地址是8.8.8.8,这是合理的DHCP服务器的DNS详细地址,因此PC1是以合法合规DHCP服务器AR1上所获得的IP地址。
六、提议实际应用中,建议大家在客户连接层交换机上边布署DHCP Snooping作用,越接近PC端口操纵越精确。而每一个网络交换机的端口号强烈推荐只联接一台PC,不然假如网络交换机某端口号下串连一个Hub,在Hub上连接着多个PC得话,那如果赶巧该Hub下发生DHCP出轨,因为出轨报文格式都是在Hub端口间立即转发了,未受连接层交换机的DHCP Snooping作用控制,这种出轨就难以避免了。
因此网络里,除开技术性安全防护,还要相互配合管理方案的安全防护,才可以最大程度确保网络安全。
相关阅读
-
-
win10接投影仪如何设置-(win10投影仪怎么设置)
win10接投影仪怎么设置(win10投影仪如何设置)序言小伙伴们好,俺再次来了!在上一年的7月份,我家里电视机弄坏了,然后我对旧屋展开了更新改造了。那时候,我使用了投影仪打造出了120寸家庭影院!具体耗费,不得超过5000元。现阶段这两台投影仪的使用次数非常高。尤其是小孩子看卡通片,及其成年人刷剧、看综艺,与50~60寸左右电视对比,投影仪感观明显,还更保护眼睛,真...
2022-10-17
-
-
路由器DHCP保护-(DHCP保护)
无线路由器DHCP维护(DHCP维护)一、应用领域企业当中的IP地址选用DHCP服务器下发,避免在互联网里出现别的不合法的DHCP服务器下发IP地址,进而保障网络安全,必须配置DHCPSnooping对策。二、试验拓扑结构实验操作中AR1为合法合规DHCP服务器,AR2为不合法的DHCP服务器...
2022-10-17
-
-
u盘未能启动windows-(u盘未能启动)
u盘无法启动windows(u盘无法启动)我向同学们推荐下插上去U盘电脑无法开机是什么原因?1、实际上,这种情况也不是什么问题,通常是开机引导次序的设置难题,但对刚用笔记本电脑的客户还是值得学习一下。2、以东芝笔记本为例子,在出现以上故障,先清除全部USB外接设备,开机然后按F2键进到BIOS页面,转换到“Advanced”设置...
2022-10-17
-
-
怎么在手里设置路由器-(手机设置路由器)
如何在手中设置路由器(手机上设置路由器)之前大家发布有关路由器的桥接视频,然后有很多小伙伴问起如何用手机设置无线网络路由器,我觉得这个还是比较好用的,经常用的较多,那样下面我们就一起来了解这些方面专业知识。最先大家买回来新路由器处于恢复出厂设置状态...
2022-10-17
-
-
win10系统当路由用-(win10设置路由器)
win10系统软件当路由器用(win10设置路由器)感受软路由,旧笔记本电脑构建OpenWRT系统软件具体步骤/家庭保姆实例教程哈喽哈喽,我就是Stark-C。提到软路由,可能不少小伙伴仅仅听过但没感受过。好多人当时很有可能和我一样,听说过不少时尚博主各种各样分...
2022-10-17
191路由网 - 192.168.1.1,192.168.0.1无线路由器设置教程
版权声明:本站的文章和图片来自互联网收集,仅做分享之用如有侵权请联系站长,我们将在24小时内删除