路由器DHCP保护-(DHCP保护)

来源:191路由网 2022-10-17 07:24:07

无线路由器DHCP维护 (DHCP维护) 一、应用领域

企业当中的IP地址选用DHCP服务器下发,避免在互联网里出现别的不合法的DHCP服务器下发IP地址,进而保障网络安全,必须配置DHCP Snooping对策。

二、试验拓扑结构

实验操作中AR1为合法合规DHCP服务器,AR2为不合法的DHCP服务器。DHCP服务项目配置基本一致,区别是合理的DHCP服务器配置的dns是8.8.8.8,不合法的DHCP服务器配置的dns是4.4.4.4。

三、IP整体规划

四、配置思路

五、配置全过程5.1、基本配置,划分vlan及添加端口号5.1.1、在网络交换机SW1上配置5.1.1.1、划分vlan10 20

<Huawei>sys

[Huawei]sys SW1

[SW1]vlan batch 10 20

5.1.1.2、把对应的1口和2口区划到vlan10,3口区划到20

[SW1]int g0/0/1

[SW1-GigabitEthernet0/0/1]port link-type access

[SW1-GigabitEthernet0/0/1]port default vlan 10

[SW1]int g0/0/2

[SW1-GigabitEthernet0/0/2]port link-type access

[SW1-GigabitEthernet0/0/2]port default vlan 10

[SW1]int g0/0/3

[SW1-GigabitEthernet0/0/3]port link-type access

[SW1-GigabitEthernet0/0/3]port default vlan 20

5.1.1.3、配置vlan10和vlan20的三层虚似插口vlanif的详细地址,做为相匹配vlan的网关地址

[SW1]int vlan 10

[SW1-Vlanif10]ip addr 192.168.10.254 24

[SW1-Vlanif10]int vlan 20

[SW1-Vlanif20]ip address 10.10.1.2 24

5.1.1.4、查询配置

查看vlan及端口号

[SW1]dis port vlan active

查询三层虚似接口地址

[SW1]dis ip int brief

5.1.2、在合理合法无线路由器AR1上配置5.1.2.1、配置与网络交换机连接的插口IP地址

<Huawei>sys

[Huawei]sys AR1

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]ip address 10.10.1.1 24

5.1.3在不合法的无线路由器AR2上配置5.1.3.1、配置插口IP地址为192.168.10.2 24

<Huawei>sys

[Huawei]sys AR2

[AR2]int g0/0/2

[AR2-GigabitEthernet0/0/2]ip address 192.168.10.2 24

5.1.4检测直联路由器

合理合法无线路由器AR1到三层交换机vlan20的网关ipvlanif 20

<AR1>ping 10.10.1.2

违法无线路由器AR2到三层交换机vlan10的网关ipvlanif 10

<AR2>ping 192.168.10.254

5.2、配置静态路由,使最底层链接互通5.2.1在合理合法无线路由器AR1上配置5.2.1.1、配置一条静态路由,到192.168.10.0子网。下一跳是vlan10的网关地址

[AR1]ip route-static 192.168.10.0 24 10.10.1.2

5.2.2查询AR1的默认路由

<AR1>dis ip routing-table

由图中悉知,在AR1上面有抵达网络交换机vlan10所属的子网192.168.10.0/24的静态路由。

5.2.3、在网络交换机SW1上查询默认路由

<SW1>dis ip routing-table

由图中悉知,在SW1上面有抵达无线路由器AR1所属10.10.1.0/24子网的直联路由器。

因此由上边的2个默认路由(无线路由器AR1和网络交换机SW1)悉知,如今PC1配置一个静态IP详细地址192.168.1.3/24能够ping通无线路由器AR1的10.10.1.1/24详细地址

PC>ping 10.10.1.1

5.2.4、查询违法DHCP无线路由器AR2的默认路由

<AR2>dis ip routing-table

由图中悉知,在AR2中没有抵达AR1子网10.10.1.0/24的路由器,必须创建一条抵达AR1里的缺省路由,下一跳为vlan10的虚似插口vlanif的详细地址10.10.1.254,那也是企业当中私拉乱建配置无线路由器常见恰当方式。

5.2.5、在AR2上配置缺省路由

[AR2]ip route-static 0.0.0.0 0.0.0.0 192.168.10.254

5.2.6、查询AR2的默认路由

这时再检测AR2到AR1的链接

[AR2]ping 10.10.1.1

这时各大网站链接的最底层早已跑通。

5.3、配置DHCP5.3.1、在无线路由器AR1上配置5.3.1.1、配置DHCP服务项目

[AR1]dhcp en

[AR1]ip pool vlan10

[AR1-ip-pool-vlan10]network 192.168.10.0 mask 24

[AR1-ip-pool-vlan10]gateway-list 192.168.10.254

[AR1-ip-pool-vlan10]dns-list 8.8.8.8

5.3.1.2、在无线路由器与交换机连接的插口上打开全局性dhcp模式

dhcp select global,含意启用一个全局模式下创建的地址池(ip pool) 网关ip。

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]dhcp select global

5.3.2 在网络交换机上配置5.3.2.1在网络交换机上打开dhcp代理作用

[SW1]dhcp enable

5.3.2.2在网络交换机上vlan10的虚似插口vlanif 10上配置代理商

[SW1]int vlan 10

[SW1-Vlanif10]dhcp select relay

[SW1-Vlanif10]dhcp relay server-ip 10.10.1.1

5.3.3检测

这时PC1能通过DHCP正常的得到AR1下发的IP地址

到此,DHCP服务器构建结束。

下边有些人在企业当中构建了不合法的DHCP服务器AR2.

5.4、在AR2上都配置同样的DHCP5.4.1这一配置和AR1配置不同类型的是dns,来区别是哪一个DHCP服务器

[AR2]dhcp enable

[AR2]ip pool vlan10

[AR2-ip-pool-vlan10]gateway-list 192.168.10.254

[AR2-ip-pool-vlan10]network 192.168.10.0 mask 255.255.255.0

[AR2-ip-pool-vlan10]dns-list 4.4.4.4

5.4.2、在无线路由器与交换机连接的插口上打开全局性dhcp模式

dhcp select global,含意启用一个全局模式下创建的地址池(ip pool) 网关ip。

[AR2-ip-pool-vlan10]int g0/0/2

[AR2-GigabitEthernet0/0/2]dhcp select global

5.5、检测得到IP地址5.5.1、PC1打开DHCP得到IP地址作用

如今其应当在同一vlan(vlan10)里的DHCP服务器得到Ip,也就是从AR2中取得,因其间距PC1近,因此回应的高效。

由图中悉知,dns是4.4.4.4是违法DHCP服务器AR2给予地址。

5.5.2、在网络交换机全局模式下打开dhcp snooping 作用

[SW1]dhcp snooping enable

[SW1]dhcp snooping enable vlan 10

5.6、认证

在PC1上先消除DHCP得到地址

PC>ipconfig /release

重新得到

PC>ipconfig /renew

由图中悉知,PC1所获得的DNS地址是8.8.8.8,这是合理的DHCP服务器的DNS详细地址,因此PC1是以合法合规DHCP服务器AR1上所获得的IP地址。

六、提议

实际应用中,建议大家在客户连接层交换机上边布署DHCP Snooping作用,越接近PC端口操纵越精确。而每一个网络交换机的端口号强烈推荐只联接一台PC,不然假如网络交换机某端口号下串连一个Hub,在Hub上连接着多个PC得话,那如果赶巧该Hub下发生DHCP出轨,因为出轨报文格式都是在Hub端口间立即转发了,未受连接层交换机的DHCP Snooping作用控制,这种出轨就难以避免了。

因此网络里,除开技术性安全防护,还要相互配合管理方案的安全防护,才可以最大程度确保网络安全。

点击展开全文

相关阅读

win10接投影仪如何设置-(win10投影仪怎么设置)

win10接投影仪怎么设置(win10投影仪如何设置)序言小伙伴们好,俺再次来了!在上一年的7月份,我家里电视机弄坏了,然后我对旧屋展开了更新改造了。那时候,我使用了投影仪打造出了120寸家庭影院!具体耗费,不得超过5000元。现阶段这两台投影仪的使用次数非常高。尤其是小孩子看卡通片,及其成年人刷剧、看综艺,与50~60寸左右电视对比,投影仪感观明显,还更保护眼睛,真...

2022-10-17

路由器DHCP保护-(DHCP保护)

无线路由器DHCP维护(DHCP维护)一、应用领域企业当中的IP地址选用DHCP服务器下发,避免在互联网里出现别的不合法的DHCP服务器下发IP地址,进而保障网络安全,必须配置DHCPSnooping对策。二、试验拓扑结构实验操作中AR1为合法合规DHCP服务器,AR2为不合法的DHCP服务器...

2022-10-17

u盘未能启动windows-(u盘未能启动)

u盘无法启动windows(u盘无法启动)我向同学们推荐下插上去U盘电脑无法开机是什么原因?1、实际上,这种情况也不是什么问题,通常是开机引导次序的设置难题,但对刚用笔记本电脑的客户还是值得学习一下。2、以东芝笔记本为例子,在出现以上故障,先清除全部USB外接设备,开机然后按F2键进到BIOS页面,转换到“Advanced”设置...

2022-10-17

怎么在手里设置路由器-(手机设置路由器)

如何在手中设置路由器(手机上设置路由器)之前大家发布有关路由器的桥接视频,然后有很多小伙伴问起如何用手机设置无线网络路由器,我觉得这个还是比较好用的,经常用的较多,那样下面我们就一起来了解这些方面专业知识。最先大家买回来新路由器处于恢复出厂设置状态...

2022-10-17

win10系统当路由用-(win10设置路由器)

win10系统软件当路由器用(win10设置路由器)感受软路由,旧笔记本电脑构建OpenWRT系统软件具体步骤/家庭保姆实例教程哈喽哈喽,我就是Stark-C。提到软路由,可能不少小伙伴仅仅听过但没感受过。好多人当时很有可能和我一样,听说过不少时尚博主各种各样分...

2022-10-17

191路由网 - 192.168.1.1,192.168.0.1无线路由器设置教程

版权声明:本站的文章和图片来自互联网收集,仅做分享之用如有侵权请联系站长,我们将在24小时内删除