哈嘍,大家好!我是藝博東 ,是一個思科出身專注于華為的網工;好了,話不多說,我們直接進入正題,
文章目錄
- 一、DHCP 拓撲
- 二、DHCP 基礎配置
- 三、DHCP 測驗
- 四、DHCP 分析
- 五、DHCP 中繼
- 六、DHCP 中繼 拓撲
- 七、DHCP 中繼 基礎配置
- 八、DHCP 中繼 測驗
- 九、DHCP snooping
一、DHCP 拓撲
二、DHCP 基礎配置
R1
[Huawei]sysname R1
[R1]dhcp enable
[R1]ip pool 160
[R1-ip-pool-160]gateway-list 192.168.160.1
[R1-ip-pool-160]network 192.168.160.0 mask 255.255.255.0
[R1-ip-pool-160]lease day 3 hour 0 minute 0
[R1-ip-pool-160]dns-list 114.114.114.114
[R1-ip-pool-160]q
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.160.1 24
[R1-GigabitEthernet0/0/0]q
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]dhcp select global
[R1-GigabitEthernet0/0/0]q
三、DHCP 測驗
PC1
選擇DHCP—>右下角點擊“應用”
輸入ipconfig
由以上輸出結果可知,已成功獲取,
測驗連通性
PC>ping 192.168.160.1
已ping通,
四、DHCP 分析
抓包
DHCP客戶端獲取地址的程序,分為四個階段:發現階段,提供階段,選擇階段,確認階段,
(1)發現階段
首先是DHCP客戶發起DHCP Discover報文來尋找DHCP服務器,由于DHCP服務器的IP地址對于客戶端來說是未知的,所以DHCP客戶端以廣播方式發送DHCP Discover報文,所有收到DHCP Discover報文的DHCP服務器都會發送回應報文,DHCP客戶端據此可以知道網路中存在的DHCP服務器的位置,
它的源地址為0.0.0.0,目的地址為255.255.255.255,
DHCP報文的廣播標志欄位(flags),當標志欄位的最高位為0時,表示客戶端希望服務器以單播方式發送DHCP Offer/DHCP Ack報文;當標志欄位的最高位為1時,表示客戶端希望服務器以廣播方式發送DHCP Offer/DHCP Ack報文,
option 53 訊息型別
option 61 DHCP 客戶端 ID
option 55 請求的引數
(2)提供階段
網路中接收到DHCP Discover報文的DHCP服務器,會從地址池選擇一個合適的 IP 地址,連同 IP 地址租約期限和其他配置資訊通過DHCP Offer報文發送給DHCP客戶端,
它的源地址為192.168.160.1(DHCP 服務器的地址),目的地址為192.168.160.254(分配給DHCP客戶端的IP地址),
option 53 訊息型別
option 1 子網掩碼
option 3 網關地址
option 6 DNS服務器的地址
option 51 租期時間
option 59 87.5%會續租時間
option 58 50%會續租時間
option 54 DHCP 服務器 ID
option 53 訊息型別
option 1 子網掩碼
option 3 網關地址
option 6 DNS服務器的地址
option 51 租期時間
option 59 87.5%會續租時間
option 58 50%會續租時間
option 54 DHCP 服務器 ID
(3)選擇階段
如果有多臺 DHCP 服務器向 DHCP 客戶端回應 DHCP Offer 報文,則 DHCP 客戶端只接收第一個收到的 DHCP Offer報文,然后以廣播方
式發送 DHCP Request請求報文,該報文中包含服務器標識選項,即它選擇的 DHCP 服務器的 IP 地址資訊,
它的源地址為0.0.0.0(DHCP 服務器的地址),目的地址為255.255.255.255(分配給DHCP客戶端的IP地址),
option 53 訊息型別
option 54 DHCP 服務器 ID
option 50 請求的IP地址
option 61 DHCP 客戶端 ID
option 55 請求的引數
(4)確認階段
當 DHCP 服務器收到 DHCP 客戶端回答的 DHCP Request報文后,DHCP 服務器會根據 DHCP Request報文中攜帶的 MAC 地址來查找有沒有相應的租約記錄,如果有,則向客戶端發送包含它所提供的 IP 地址和其它設定的 DHCP Ack 確認報文,DHCP 客戶端收到該確認報文后,會以廣播的方式發送免費 ARP 報文,探測是否有主機使用服務器分配的 IP 地址,如果在規定的時間內沒有收到回應,客戶端才使用此地址,
它的源地址為192.168.160.1(DHCP 服務器的地址),目的地址為192.168.160.254(分配給DHCP客戶端的IP地址),
DHCP Release 報文是主動釋放服務器分配給它的IP地址,
五、DHCP 中繼
5.1 定義
DHCP Relay 即 DHCP 中繼,它實作了不同網段間的 DHCP 服務器和客戶端之間的報文互動,
5.2 作用
DHCP 中繼承擔處于不同網段間的 DHCP 客戶端和服務器之間中繼服務,將 DHCP 協議報文跨網段透傳到目的 DHCP 服務器,最終使網路上的 DHCP 客戶端可以共同使用一個 DHCP 服務器,
六、DHCP 中繼 拓撲
七、DHCP 中繼 基礎配置
R1
[R1]dhcp enable
[R1]ip pool 200
[R1-ip-pool-200]gateway-list 192.168.200.254
[R1-ip-pool-200]network 192.168.200.0 mask 255.255.255.0
[R1-ip-pool-200]lease day 3 hour 0 minute 0
[R1-ip-pool-200]dns-list 114.114.114.114
[R1-ip-pool-200]q
[R1]ip pool 100
[R1-ip-pool-100]gateway-list 192.168.100.254
[R1-ip-pool-100]network 192.168.100.0 mask 255.255.255.0
[R1-ip-pool-100]lease day 3 hour 0 minute 0
[R1-ip-pool-100]dns-list 114.114.114.114
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.160.1 255.255.255.0
[R1-GigabitEthernet0/0/0]dhcp select global
[R1-GigabitEthernet0/0/0]q
[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.160.2
R2
[R2]dhcp enable
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip address 192.168.160.2 255.255.255.0
[R2-GigabitEthernet0/0/0]q
[R2]vlan batch 100 200
[R2]int g0/0/1.100
[R2-GigabitEthernet0/0/1.100]dot1q termination vid 100
[R2-GigabitEthernet0/0/1.100]ip address 192.168.100.254 255.255.255.0
[R2-GigabitEthernet0/0/1.100]arp broadcast enable
[R2-GigabitEthernet0/0/1.100]dhcp select relay
[R2-GigabitEthernet0/0/1.100]dhcp relay server-ip 192.168.160.1
[R2-GigabitEthernet0/0/1.100]q
[R2]int g0/0/1.200
[R2-GigabitEthernet0/0/1.200]dot1q termination vid 200
[R2-GigabitEthernet0/0/1.200]ip address 192.168.200.254 255.255.255.0
[R2-GigabitEthernet0/0/1.200]arp broadcast enable
[R2-GigabitEthernet0/0/1.200]dhcp select relay
[R2-GigabitEthernet0/0/1.200]dhcp relay server-ip 192.168.160.1
[R2-GigabitEthernet0/0/1.200]q
[R2]ip route-static 0.0.0.0 0.0.0.0 192.168.160.1
LSW1
[Huawei]sysname LSW1
[LSW1]vlan batch 100 200
[LSW1]dhcp enable
[LSW1]int g0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type trunk
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[LSW1-GigabitEthernet0/0/1]int g0/0/2
[LSW1-GigabitEthernet0/0/2]p l a
[LSW1-GigabitEthernet0/0/2]port default vlan 200
[LSW1-GigabitEthernet0/0/2]int g0/0/3
[LSW1-GigabitEthernet0/0/3]p l a
[LSW1-GigabitEthernet0/0/3]port default vlan 100
[LSW1-GigabitEthernet0/0/3]q
[LSW1]int Vlanif 200
[LSW1-Vlanif200]ip address 192.168.200.254 255.255.255.0
[LSW1-Vlanif200]dhcp select relay
[LSW1-Vlanif200]dhcp relay server-ip 192.168.160.1
[LSW1-Vlanif200]q
[LSW1]int Vlanif 100
[LSW1-Vlanif100]ip address 192.168.100.254 255.255.255.0
[LSW1-Vlanif100]dhcp select relay
[LSW1-Vlanif100]dhcp relay server-ip 192.168.160.1
八、DHCP 中繼 測驗
PC5
PC>ipconfig
已成功獲取IP地址
PC6
PC>ipconfig
已成功獲取IP地址
PC5 PING 測 PC6
PC>ping 192.168.100.252
由以上輸出結果可知,可PING測通,
抓包
DHCP Discover
DHCP Offer
DHCP request
DHCP Ack
九、DHCP snooping
9.1 定義
DHCP Snooping是DHCP的一種安全特性,用于保證DHCP客戶端從合法的DHCP服務器獲得IP地址,并記錄DHCP客戶端IP地址與MAC地址 等引數的對應關系,防止網路上針對DHCP服務的攻擊,
9.2 基本功能:
(1)信任功能:能夠保證客戶端從合法的服務器獲取 IP 地址,DHCP Snooping 信任功能將介面分為信任介面和非信任介面:
a)信任介面正常接收 DHCP 服務器回應的DHCP ACK、DHCP NAK 和 DHCP Offer報文,
b)非信任介面在接收到 DHCP 服務器回應的DHCP ACK、DHCP NAK和DHCP Offer報文后,丟棄該報文,
9.3 應用場景
(1)防止DHCP服務器的仿冒者攻擊
攻擊原理:由于 DHCP Server 和 DHCP Client 之間沒有認證機制,所以如果在網路上隨意添加一臺 DHCP 服務器,它就可以為客戶端分配 以及其他網路引數,如果該 DHCP 服務器為用戶分配錯誤的 IP 地址和其他網路引數,將會對網路造成非常大的危害,
解決方法:為了防止 DHCP Server 仿冒者攻擊,可配置設備介面的“信任(Trusted)/非信任(Untrusted)”作業模式,將與合法 DHCP 服
務器直接或間接連接的介面設定為信任介面,其他介面設定為非信任介面,此后,從“非信任(Untrusted)”介面上收到的 DHCP 回應報文將被直接丟棄,這樣可以有效防止 DHCP Server 仿冒者的攻擊,
[LSW1]int g0/0/1
[LSW1-GigabitEthernet0/0/1]dhcp snooping enable
[LSW1-GigabitEthernet0/0/1]dhcp snooping trusted
(2)防止DHCP報文泛洪攻擊
攻擊原理:在DHCP網路環境中,若存在DHCP用戶短時間內向設備發送大量的DHCP報文,將會對設備的性能造成巨大的沖擊以致可能會導致設備無法正常作業,
解決方法:通過使能對DHCP報文上送DHCP報文處理單元的速率進行檢測功能將能夠有效防止DHCP報文泛洪攻擊,
[LSW1]dhcp snooping enable
[LSW1]dhcp snooping check dhcp-rate enable
[LSW1]vlan 100
[LSW1-vlan100]dhcp snooping check dhcp-rate enable
(3)防止DHCP服務器拒絕服務攻擊(餓死攻擊)
攻擊原理:若R2設備介面 int g0/0/1下存在大量攻擊者惡意申請 IP 地址,會導致 DHCP Server 中 IP 地址快速耗盡而不能為其他合法用戶提供 IP 地址分配服務,另一方面,DHCP Server 通常僅根據 DHCP Request報文中的 CHADDR(Client Hardware Address)欄位來確認客戶端的MAC 地址,如果某一攻擊者通過不斷改變 CHADDR欄位向 DHCP Server申請 IP 地址,同樣將會導致 DHCP Server 上的地址池被耗盡,從而無法為其他正常用戶提供 IP 地址,
解決方法:限制SW的每個介面下PC通過DHCP獲取地址的數量
[R2]dhcp snooping max-user-number 100
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]dhcp snooping max-user-number 100
(4)防止仿冒DHCP報文攻擊
攻擊原理:在DHCP中,若攻擊者仿冒合法用戶的DHCP Request報文發往DHCP Server,將會導致用戶的IP地址租約到期之后不能夠及時釋放,以致合法用戶無法使用該IP地址,若攻擊者仿冒合法用戶的DHCP Release報文發往DHCP Server,將會導致用戶例外下線,
解決方法:為了有效的防止仿冒 DHCP 報文攻擊,可利用 DHCP Snooping 系結表的功能,設備通過將 DHCP Request 續租報文和 DHCP Release 報文與系結表進行匹配操作能夠有效的判別報文是否合法(主要是檢查報文中的 VLAN、IP、MAC、介面資訊是否匹配動態系結表),若匹配成功則轉發該報文,匹配不成功則丟棄,
[LSW1]dhcp snooping check dhcp-request enable vlan 100
[LSW1]dhcp snooping alarm threshold 100
[LSW1]int g0/0/2
[LSW1-GigabitEthernet0/0/2]dhcp snooping alarm dhcp-request threshold 100
[LSW1]vlan 100
[LSW1-vlan100]dhcp snooping check dhcp-request enable
(5)防止非DHCP用戶攻擊
手動配置IP地址的的用戶的資料 SW不會轉發
PC5 的 MAC-address:54-89-98-2E-1E-95
[R1-ip-pool-200]static-bind ip 192.168.200.99 mac-address 5489-982E-1E95
OK,本期就到這里了,
《周易》
天行健,君子以自強不息;地勢坤,君子以厚德載物,
好了這期就到這里了,如果你喜歡這篇文章的話,請點贊評論分享收藏,如果你還能點擊關注,那真的是對我最大的鼓勵,謝謝大家,下期見!
CSDN認證博客專家
網路
路由交換
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/266413.html
標籤:其他