Cisco解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法.docx

上传人:安*** 文档编号:19044235 上传时间:2022-06-03 格式:DOCX 页数:17 大小:23.13KB
返回 下载 相关 举报
Cisco解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法.docx_第1页
第1页 / 共17页
Cisco解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法.docx_第2页
第2页 / 共17页
点击查看更多>>
资源描述

《Cisco解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法.docx》由会员分享,可在线阅读,更多相关《Cisco解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法.docx(17页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、Cisco解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法Cisco解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法网络管理员:如今用户真是不省心,本人改个IP地址;私接AP、忘关DHCP,还有的下个小黑客程序,就想在你内网里试试。单靠交换机能管吗,测试工程师:能很多交换机上的小功能都可帮大忙。测试实况:IP与MAC绑定思科的Catalyst3560交换机支持DHCPSnooping功能,交换时机监听DHCP的经过,交换时机生成一个IP和MAC地址对应表。思科的交换机更进一步的支持IPsourceguard和DynamicARPInspection功能,这两个功能任

2、启一个都能够自动的根据DHCPSnooping监听获得的IP和MAC地址对应表,进行绑定,防止私自更改地址。DynamicARPInspection功能还有一个好处是能够防备在2层网络的中间人攻击(见图4)。思科在DHCPSnooping上还做了一些非常有益的扩展功能,比方Catalyst3560交换机能够限制端口通过的DHCP数据包的速率,粒度是pps,这样能够防止对DHCP服务器的进行地址请求的DoS攻击。另外Catalyst3560交换机还支持DHCPTracker,在DHCP请求中插入交换机端口的ID,进而限制每个端口申请的IP地址数目,防止黑客程序对DHCP服务器进行目的为耗尽IP地

3、址池的攻击。华硕固然不能调整速率,但是也会限制DHCP请求的数量。DHCP(动态主机配置协议)是一种简化主机IP地址配置管理的TCP/IP标准。该标准为DHCP服务器的使用提供了一种有效的方法:即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。在基于TCP,IP协议的网络中,每台计算机都必须有唯一的IP地址才能访问网络上的资源,网络中计算机之间的通信是通过IP地址来实现的,并且通过IP地址和子网掩码来标识主计算机及其所连接的子网。在局域网中假如计算机的数量比拟少,当然能够手动设置其IP地址,但是假如在计算机的数量较多并且划分了多个子网的情况下,为计算机配置IP

4、地址所涉及的管理员工作量和复杂性就会相当繁重,而且容易出错,如在实际使用经过中,我们经常会碰到因IP地址冲突、网关或DNS服务器地址的设置错误导致无法访问网络、机器经常变动位置而不得不频繁地更换IP地址等问题。DHCP则很好地解决了上述的问题,通过在网络上安装和配置DHCP服务器,启用了DHCP的客户机可在每次启动并参加网络时自动地获得其上网所需的IP地址和相关的配置参数。进而减少了配置管理,提供了安全而可靠的配置。配置DHCP服务的服务器能够为每一个网络客户提供一个IP地址、子网掩码、缺省网关,以及DNS服务器的地址。DHCP避免了因手工设置IP地址及子网掩码所产生的错误,也避免了把一个IP

5、地址分配给多台主机所造成的地址冲突。降低了IP地址管理员的设置负担,使用DHCP服务器能够大大地缩短配置网络中主机所花费的时间。但是,随着DHCP服务的广泛应用,也产生了一些问题。首先,DHCP服务允许在一个子网内存在多台DHCP服务器,这就意味着管理员无法保证客户端只能从管理员所设置的DHCP服务器中获取合法的IP地址,而不从一些用户自建的非法DHCP服务器中获得IP地址;其次,在部署DHCP服务的子网中,指定了合法的IP地址、掩码和网关的主机可以以正常地访问网络,而DHCP服务器却仍然会有可能将该地址分配给其他主机,这样就会造成地址冲突,影响IP地址的正常分配。针对上述问题,本文给出了一个

6、解决方案,即通过使用Cisco提供的DHCPSnooping技术和DynamicARPInspection技术,能够有效地防止以上问题的发生。这里首先对两种技术做一个扼要的介绍,然后将给出一个应用实例加以讲明。四、应用实例我校1,学生公寓,PC拥有数量大约1000台。采用DHCP分配IP地址,拥有4个C类地址,实际可用地址数约1000个。由于楼内经常存在私开的DHCP服务器,导致大量主机无法分配到合法IP地址;另外,由于有相当数量的主机指定IP地址,因而造成了与DHCP分配的IP地址冲突。以上两方面,均造成了该公寓楼大量主机无法正常访问网络。经过一段时间的分析、实验,我们决定对该公寓楼部署DH

7、CPSnooping和DynamicARPInspection两项技术,以保证网络的正常运行。该公寓网络设备使用情况如下,接入层为台Cisco2950交换机上联至堆叠的4台Cisco3750,再通过光纤上联至会聚层的Cisco3750交换机。同时会聚层的Cisco3750交换机还兼做DHCP服务器。部署经过首先按如下经过配置DHCPSnooping1configureterminal2ipdhcpsnooping在全局形式下启用DHCPSnooping3ipdhcpsnoopingvlan103在VLAN103中启用DHCPSnooping4ipdhcpsnoopinginformationo

8、ptionEnabletheswitchtoinsertandremoveDHCPrelayinformation(option-82field)inforwardedDHCPrequestmessagestotheDHCPserver.Thedefaultisenabled.5interfaceGigabitEthernet1/0/28,进入交换机的第28口6ipdhcpsnoopingtrust将第28口设置为受信任端口7ipdhcpsnoopinglimitrate500设置每秒钟处理DHCP数据包上限9end退出完成配置后,可用如下命令观察DHCPSnooping运行状况:showip

9、dhcpsnooping得到如下信息:SwitchDHCPsnoopingisenabledDHCPsnoopingisconfiguredonfollowingVLANs:103Insertionofoption82isenabledVerificationofhwaddrfieldisenabledInterfaceTrustedRatelimit(pps)-GigabitEthernet1/0/22yesunlimitedGigabitEthernet1/0/24yesunlimitedGigabitEthernet1/0/27yesunlimitedGigabitEthernet1/0

10、/28no500showipdhcpsnoopingbinding,得到如下信息:MacAddressIpAddressLease(sec)TypeVLANInterface-00:11:09:11:51:16210.77.5.2013209dhcp-snooping103GigabitEthernet1/0/2800:50:8D:63:5A:05210.77.6.1342466dhcp-snooping103GigabitEthernet1/0/2800:E0:4C:A17:80210.77.4.263070dhcp-snooping103GigabitEthernet1/0/2800:0F

11、:EA:A8:BC:22210.77.5.1981887dhcp-snooping103GigabitEthernet1/0/2810:E0:8C:50:805210.77.5.953034dhcp-snooping103GigabitEthernet1/0/2800:03:0D:0E:9A:A5210.77.6.2303144dhcp-snooping103GigabitEthernet1/0/2800:50:8D:6C:08:9F210.77.4.173012dhcp-snooping103GigabitEthernet1/0/2800:E0:50:00:0B:54210.77.6.183

12、109dhcp-snooping103GigabitEthernet1/0/2800:0F:EA:13:40:54210.77.7.72631dhcp-snooping103GigabitEthernet1/0/2800:E0:4C:45:21:E9210.77.7.772687dhcp-snooping103GigabitEthernet1/0/28-More-接下来配置DynamicARPInspection1showcdpneighbors检查交换机之间的连接情况CapabilityCodes:R-Router,T-TransBridge,B-SourceRouteBridgeS-Swi

13、tch,H-Host,I-IGMP,r-Repeater,P-PhoneDeviceIDLocalIntrfceHoldtmeCapabilityPlatformPortIDapGig1/0/23149TAIR-AP1230Fas0hall-3750Gig1/0/27135SIWS-C3750-2Gig1/0/11#west-3750Gig1/0/28173SIWS-C3750G-Gig1/0/252configureterminal进入全局配置形式3iparpinspectionvlan103在VLAN103上启用DynamicARPInspection4interfaceGigabitEt

14、hernet1/0/28进入第28端口5iparpinspectiontrust将端口设置为受信任端口TheswitchdoesnotcheckARPpacketsthatitreceivesfromtheotherswitchonthetrustedinterface.Itsimplyforwardsthepackets.6end配置完成后能够用如下命令观察DynamicARPInspection的运行情况showarpaccess-listacl-nameDisplaysdetailedinformationaboutARPACLs.showiparpinspectioninterface

15、sinterface-idDisplaysthetruststateandtheratelimitofARPpacketsforthespecifiedinterfaceorallinterfaces.InterfaceTrustStateRate(pps)BurstInterval-Gi1/0/21Untrusted151Gi1/0/22TrustedNoneN/AGi1/0/23Untrusted151Gi1/0/24TrustedNoneN/AGi1/0/25Untrusted151Gi1/0/26Untrusted151Gi1/0/27TrustedNoneN/AGi1/0/28Unt

16、rustedNoneN/Ashowiparpinspectionvlanvlan-range,DisplaystheconfigurationandtheoperatingstateofdynamicARPinspectionforallVLANsconfiguredontheswitch,foraspecifiedVLAN,orforarangeofVLANs.yql-2#-3750#shiparpinspectionvlan103SourceMacValidation:DisabledDestinationMacValidation:DisabledIPAddressValidation:

17、DisabledVlanConfigurationOperationACLMatchStaticACL-103EnabledActiveVlanACLLoggingDHCPLogging-103DenyDeny注意事项:DHCPSnoopingl在配置DHCPSnooping以前,必须确认该设备作为DHCP服务器。l建议对非信任端口的上限不要超过100。对于被设置为受信任的trunk端口,需要适当增加DynamicARPInspection必须限制trunk端口处理ARP包的数量五、一些问题的讨论在实际使用经过中我们发现,在配置完上述命令后,Cisco3750交换时机在运行一段时间以后变得缓慢

18、,CPU利用率到达100,,性能严重下降。经过分析我们发现,在开场应用DynamicARPInspection时,交换时机记录大量的数据包,当端口通过的数据包太多时,交换时机以为遭受DoS攻击,进而将端口自动errdisable,造成通信中断。为了解决这个问题,我们需要参加命令errdisablerecoverycausearp-inspection。由于Cisco3750交换机能力有限,因而我们建议在使用Cisco3750交换机配置上述命令时应逐级增大portlimitrate。六、小结DHCP服务在网络中的广泛应用,极大地减轻了网络管理员的负担,方便了用户使用网络。但是由于有些用户私自指定

19、IP地址,造成了IP地址自动分配时引起的IP地址冲突,进而影响其他用户的使用。我们经过实际测试,给出了上述解决方案,本方法不仅合适于Cisco的3750交换机,也适用于Cisco的65系列交换机。DHCP防指定IP地址的方法在我校已经得到了成功的应用,经过实践检验,我们以为这是一个非常实用的功能。在系统设置好以后,网络中的用户只要设置为自动获取IP地址才能上网,否则将无法上网。进而解决了在使用DHCP的网络中,用户私自指定IP地址而带来的IP地址冲突问题。假如公司内网由于用户自行安装了WindowsServer版本的操作系统而小心启用了DHCP服务,或其他因素在内网中出现了非受权的DHCP服务

20、器,会给网络造成什么样的影响呢,DHCPserver能够自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数,简化了用户网络设置,提高了管理效率。但是,此时假如服务器和客户端没有认证机制,网络上存在的非法的DHCP服务器将会给部分主机的地址分配、网关及DNS参数照成混乱,导致主机无法连接到外部网络。出现这种情况,怎样解决这些问题呢,作为客户端计算机来讲,能够尝试使用ipconfig/release释放获得的网络参数后,然后用ipconfig/renew重新尝试获取正确的DHCP服务器配置服务,但这种方法很被动,往往要十几次甚至几十次才偶然有可能成功一次,不能从根本解决问题。另外一

21、个解决办法,在windows系统组建的网络中,假如非法DHCP服务器也是用Windows系统建立的话我们能够通过“域的方式对非法DHCP服务器进行过滤。将合法的DHCP服务器添加到活动目录(ActiveDirectory)中,通过这种认证方式就能够有效的制止非法DHCP服务器了。原理就是没有参加域中的DHCPServer在相应请求前,会向网络中的其他DHCPServer发送DHCPINFORM查询包,假如其他DHCPServer有响应,那么这个DHCPServer就不能对客户的要求作相应,也就是讲网络中参加域的DHCP服务器的优先级比没有参加域的DHCP服务器要高。这样当合法DHCP存在时非法

22、的就不起任何作用了。受权合法DHCP的经过如下:第一步:开场-程序-管理工具-DHCP第二步:选择DHCProot,用鼠标右键单击,然后阅读选择需要认证的服务器。第三步:点“添加按钮,输入要认证的DHCP服务器IP地址,完成受权操作。但是该方法只适用于非法DHCP服务器是windows系统,需要用到域和活动目录,配置较复杂,另外对于非Windows的操作系统,就显得力不从心了。还有更好的方法,就是利用交换机的DHCP监听,通过建立和维护DHCPSnooping绑定表过滤不可信任的DHCP信息,也就是过滤掉非法DHCP服务器向网络上发送的数据包。首先定义交换机上的信任端口和不信任端口,将DHCP

23、服务器所连接的端口定义为信任端口,其它连接到普通客户端的端口全部定义为不信任端口,对于不信任端口的DHCP报文进行截获和嗅探,drop掉来自这些端口的非正常DHCP报文,进而到达过滤非法DHCP服务器的目的。基本配置示例:switch(config)#ipdhcpsnoopingvlan100,200/*定义哪些VLAN启用DHCP嗅探switch(config)#ipdhcpsnoopingswitch(config)#intfa4/10/*dhcp服务器所在端口switch(config-if)#ipdhcpsnoopingtrustswitch(config)#intrangefa3/1

24、-48/*其它端口switch(config-if)#noipdhcpsnoopingtrust(Default)switch(config-if)#ipdhcpsnoopinglimitrate10(pps)/*一定程度上防止DHCP拒绝服/*务攻击二、DHCPSnooping技术DHCPSnooping是一种通过建立DHCPSnoopingBinding数据库,过滤非信任的DHCP消息,进而保证网络安全的特性。DHCPSnooping就像是非信任的主机和DHCP服务器之间的防火墙。通过DHCPSnooping来区分连接到末端客户的非信任接口和连接到DHCP服务器或者其他交换机的受信任接口。

25、DHCPSnoopingBinding数据库包括如下信息:MAC地址、IP地址、租约时间、binding类型、VLANID以及来自本地非信任端口的接口信息,但不包含通过受信任端口相互连接的接口信息。在启用了DHCPSnooping的VLAN中,假如交换机收到来自非信任端口的DHCP包,交换机将对目的MAC地址和DHCP客户端的地址进行比照,假如符合则该包能够通过,否则将被丢弃掉。在下述情况中,DHCP包将同样被丢弃:来自外网或者防火墙的DHCP服务器,包括DHCPOFFER、DHCPACK、DHCPNAK、DHCPLEASEQUERY。来自非信任端口,且目的MAC地址和DHCP客户端的硬件地址

26、不匹配。交换机收到DHCPRELEASE或者DHCPDECLINE的广播信息,其MAC地址包含在DHCPsnoopingbinding数据库中,但与数据库中的接口信息不匹配通过DHCP中继代理转发的包不包括在内三、DynamicARPInspection技术DynamicARPinspection是一种验证网络中ARP包的安全特性,能够阻止、记录并丢弃非法IP和MAC地址绑定的ARP包。DynamicARPinspection保证只要合法的ARP请求和响应能够传播。交换时机完成如下工作,截取所有来自非信任端口ARP请求和响应,在更新ARP缓存或传播数据包之前验证所截取的数据包IP-MAC地址绑定能否合法,丢弃非法的ARP包。前面提到,DHCPSnooping会建立一个包含合法IP-MAC地址绑定信息的数据库,DynamicARPinspection基于该数据库检验所截取ARP包的合法性。假如ARP包来自非信任接口,那么只要合法的能够通过。假如来自受信任端口,将能够直接通过。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 应用文书 > 培训材料

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁