《实训 服务器中继、 配置教学课件电子教案.pptx》由会员分享,可在线阅读,更多相关《实训 服务器中继、 配置教学课件电子教案.pptx(20页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、实训09 DHCP 服务器&中继、DHCP Snooping配置实训9 DHCP 服务器&中继、DHCP Snooping配置目 录contents0101实训目的实训目的背景描述背景描述实训原理实训原理实训步骤实训步骤赛点链接赛点链接02020303040405050606易错分析易错分析01实训目的0101实训目的实训目的通过本实训,读者可以掌握如下技能:1. 了解DHCP工作原理、运行机制;2. 熟练掌握交换机DHCP的配置。02背景描述0202背景描述背景描述通集团北京总部网络管理员计划针对人事行政部、技术支持部业务内部终端、采用自动获取IP地址,总部核心交换机CS6200作为DHCP
2、服务器进行IP地址分配;为了防止人事行政部、技术支持部用户私设DHCP服务器,使用相应技术进行安全防范,当检测到私设DHCP服务器时,自动关闭该端口。0202背景描述实训拓扑0202背景描述需求分析在总部核心交换机CS6200启用DHCP服务、为人事行政部、技术支持部业务内部终端分配IP地址,同时在总部两接入交换机BJ-S4600-1、BJ-S4600-2启用DHCP Snooping技术来防止用户私设DHCP服务器,配置信任端口、设置防御动作。BFD MAD IP 地址规划如下表:BFD MAD IP 地址规划如下表:0202背景描述数据规划BFD MAD IP 地址规划如下表:BFD MA
3、D IP 地址规划如下表:部门名称部门名称DHCPDHCP分配地址池分配地址池DHCPDHCP分配网关地址分配网关地址DHCPDHCP分配分配DNSDNS人事行政部192.168.10.0 /24192.168.10.2548.8.8.8技术支持部192.168.40.0 /24192.168.40.2548.8.8.803实训原理0303实训原理DHCP Snooping功能指交换机监测DHCP CLIENT通过DHCP协议获取IP的过程。它通过设置信任端口和非信任端口,来防止DHCP 攻击及私设DHCP SERVER。从信任端口接收的DHCP报文无需校验即可转发。典型的设置是将信任端口连接
4、DHCP SERVER或者DHCP RELAY代理。非信任端口连接DHCP CLIENT,交换机将转发从非信任端口接收的DHCP请求报文,不转发从非信任端口接收的DHCP回应报文。如果从非信任端口接收DHCP回应报文,除了发出告警信息外,并可根据设置对该端口执行相应的动作,比如shutdown,下发blackhole。如果启用了DHCP Snooping绑定功能,则交换机将会保存非信任端口下的DHCP CLIENT的绑定信息,每一条绑定信息包含该DHCP CLIENT的MAC地址、IP地址、租期、VLAN号和端口号,这些绑定信息存放于DHCP Snooping的绑定表中。利用绑定信息,DHCP
5、 Snooping可以结合dot1x,arp等模块或独立实现用户的接入控制。04实训步骤0404实训步骤1.配置思路:首先在核心交换机使能DHCP服务器,并完成相关参数的配置;然后在接入交换机上开启DHCP Snooping,完成对相关参数的配置。2.操作步骤:(1)核心交换机使能DHCP,并配置DHCP相关参数BJ-S4600-2enableSW-Core(config)#service dhcpSW-Core(config)#ip dhcp pool RSB SW-Core(dhcp-rsb-config)#network-address 192.168.10.0 255.255.255.
6、0 SW-Core(dhcp-rsb-config)#default-router 192.168.10.254SW-Core(dhcp-rsb-config)#dns 8.8.8.8SW-Core(config)#ip dhcp excluded-address 192.168.10.254SW-Core(config)#ip dhcp pool JSB SW-Core(dhcp-rsb-config)#network-address 192.168.40.0 255.255.255.0 SW-Core(dhcp-rsb-config)#default-router 192.168.40.2
7、54SW-Core(dhcp-rsb-config)#dns 8.8.8.8SW-Core(config)#ip dhcp excluded-address 192.168.40.2540404实训步骤(2)接入交换机使能DHCP Snooping,并配置相应接口参数S4600-28P-SI(config)#ip dhcp snooping enable S4600-28P-SI(config)#interface port-channel 1S4600-28P-SI(config-if-port-channel1)#ip dhcp snooping trustS4600-28P-SI(con
8、fig)#interface e1/0/3-24S4600-28P-SI(config-if-port-range)#ip dhcp snooping action shutdown05赛点链接0505赛点链接2018年国赛交换配置与调试第四题营销、行政、财务各自部门业务内部终端、采用自动获取IP地址,总部RT1作为DHCP服务器进行IP地址分配,地址池主机位范围为100-200;为了防止营销、行政部门用户私设DHCP服务器,使用相应技术进行安全防范,当检测到私设DHCP服务器时,自动关闭该端口;06易错分析0606易错分析当在使用DHCP Snooping功能出现问题时,请检查是否是如下原因:(1)检查全局DHCP Snooping开关是否打开;(2)如果配置DHCP Snooping, 而DHCP客户端没有获取IP时,请检查连接dhcp server/relay的端口是否已配置成信任端口。THANKS