DHCP:(9)Cisco DHCP features DHCP ARP安全控制 | 网络之路博客(公众号同名)(其他平台网络之路Blog)
登录
  • 欢迎网络之路博客网站,分享有用的知识点,公众号:网络之路博客,B站:网络之路Blog
  • 如果您觉得本站对您有帮助,那么赶紧使用Ctrl+D 收藏吧,支持我们下
  • 远程技术支持的淘宝店铺已经开张了哦,传送门:需要的朋友可以点击查看

DHCP:(9)Cisco DHCP features DHCP ARP安全控制

【汇总】DHCP原理应用文档

文档帖子汇总实战系列学习视频学习必备软件
    博主也只是业余时间写写技术文档,请大家见谅,大家觉得不错的话,可以推荐给朋友哦,博主会努力推出更好的系列文档的。如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路博客,http://ccieh3c.com

说明

关于DHCP ARP安全的features,虽然不适合中大型环境,但是在小型网络,然后领导又有特殊需求的要求下面的客户不能私自设置IP,必须通过DHCP获取,防止因为恶意设置导致地址冲突等问题。这个技术需要通过DHCP来配合,但是在中大型环境,然后架构更加复杂的时候,就需要用DHCP Snooping,DAI与ip source Guard技术,更加能细致的控制,属于内部安全技术常见部署之一。

拓扑

dhcp

拓扑说明,该拓扑比较适用于有2~多个VLAN的情况下,这个时候必须与连接的出口路由器配置子接口的方式,当然这种方式只适合小型网络。

还另外一种情况就是,像思科的ISR系列路由器,有些系列是附带二层接口与三层接口,是多业务路由器,可以看作是一台三层交换机+路由器,这种可以把二层交换机与出口路由器配置为trunk模式,然后配置SVI接口,这种也是合适的,还可以起EC,解决单臂路由的带宽瓶颈问题。不过一般小型网络也没这么多需求了,这里只是稍微提下。

1.二层交换机初始化与配置
2.出口路由器初始化
3.DHCP+ARP安全配置
4.出口路由器NAT配置,让下面客户端能够访问外网。
5.测试以及几种情况的应对办法。

1.二层交换机初始化与配置

1.创建VLAN
SW-s2960(config)#vlan 2
SW-s2960(config-vlan)#vlan 3
SW-s2960(config-vlan)#

2.把接入PC的接口划入对应的VLAN
SW-s2960(config)#int f1/0
SW-s2960(config-if)#switchport mode access
SW-s2960(config-if)#switchport access vlan 2
SW-s2960(config-if)#spanning-tree portfast

SW-s2960(config)#int f1/1
SW-s2960(config-if)#switchport mode access
SW-s2960(config-if)#switchport access vlan 3
SW-s2960(config-if)#spanning-tree portfast
这里启用快速端口,是跳过生成树状态机,使得客户端能够快速获取到地址。

3.与接路由器接口配置为trunk
SW-s2960(config)#int f1/15
SW-s2960(config-if)#switchport trunk encapsulation dot1q
SW-s2960(config-if)#switchport mode trunk
SW-s2960(config-if)#switchport trunk allowed vlan 1-3,1002-1005
说明:二层交换机简单的配置,划分了VLAN,然后把对应接口加入VLAN,以及与上行接口定义为trunk,红色部分为可选,默认是允许全部VLAN通过,这里只允许已经存在的VLAN通过。

2.出口路由器初始化

1.连接外网的接口
ROUTER-GW(config)#int e1/0
ROUTER-GW(config-if)#ip address 202.100.1.1 255.255.255.0
ROUTER-GW(config-if)#no shutdown
ROUTER-GW(config-if)#exit

2.连接内网的接口,子接口形式
ROUTER-GW(config)#int f0/0
ROUTER-GW(config-if)#no shut
ROUTER-GW(config)#
ROUTER-GW(config)#int f0/0.2
ROUTER-GW(config-subif)#encapsulation dot1Q 2
ROUTER-GW(config-subif)#ip address 192.168.2.254 255.255.255.0

ROUTER-GW(config)#int f0/0.3
ROUTER-GW(config-subif)#encapsulation dot1Q 3
ROUTER-GW(config-subif)#ip address 192.168.3.254 255.255.255.0
说明:子接口,必须先把物理接口开启,然后在子接口下,封装需要的VLAN,以及配置IP地址。

默认路由配置,走公网的路由

ROUTER-GW(config)#ip route 0.0.0.0 0.0.0.0 202.100.1.10
说明:让下面的客户端上公网,必须配置默认路由。

3.DHCP+ARP安全配置

1.DHCP配置【配置VLAN 2与VLAN3的地址池】
ROUTER-GW(config)#ip dhcp pool vlan2
ROUTER-GW(dhcp-config)#network 192.168.2.0 /24
ROUTER-GW(dhcp-config)#default-router 192.168.2.254
ROUTER-GW(dhcp-config)#dns-server 114.114.114.114
ROUTER-GW(dhcp-config)#lease 0 4
ROUTER-GW(dhcp-config)#domain-name ccieh3c.taobao.com
ROUTER-GW(dhcp-config)#exit

ROUTER-GW(config)#ip dhcp pool vlan3
ROUTER-GW(dhcp-config)#network 192.168.3.0 /24
ROUTER-GW(dhcp-config)#default-router 192.168.3.254
ROUTER-GW(dhcp-config)#dns-server 114.114.114.114
ROUTER-GW(dhcp-config)#domain-name ccieh3c.taobao.com
ROUTER-GW(dhcp-config)#lease 0 4
配置了常用的参数,包括分配的地址池网段、掩码、网关、DNS、与域名。这里租期特别重要,会跟下面的ARP来配合使用。

2.ARP安全配置【重点】
ROUTER-GW(config)#ip dhcp pool vlan2
ROUTER-GW(dhcp-config)#update arp

ROUTER-GW(config)#ip dhcp pool vlan3
ROUTER-GW(dhcp-config)#update arp

ROUTER-GW(config)#interface f0/0.2
ROUTER-GW(config-subif)#arp authorized
ROUTER-GW(config-subif)#arp probe interval 10 count 3 【可选】

ROUTER-GW(config)#interface f0/0.3
ROUTER-GW(config-subif)#arp authorized
ROUTER-GW(config-subif)#arp probe interval 10 count 3 【可选】

说明下配置的命令作用,(1)在接口下配置的arp authorized,它的作用是启用了该功能的接口,如果收到ARP的Request,则不会主动回应ARP reply,什么情况下会响应呢,第一个是自己手工绑定,该环境适合有静态IP地址存在的服务器或者网络打印机,第二个则是在DHCP里面配置的特殊命令了 (2)可以看到在DHCP进程下,配置了一个update arp,它的作用就是,当客户端通过DHCP从该设备获取到DHCP分配的地址的时候,由于该设备是服务器,它清楚的知道,它分配给下面客户端的IP与MAC是什么,通过这个来生成ARP表项,这样的话,也就是说静态配置IP的用户,是在网关上面不会产生对应的ARP表项的,那么一个数据包发送出去,需要明确知道网关的MAC地址是什么,如果网关不给于回应,那么数据包由于不知道目的MAC是什么,导致封装失败,数据包则发送不了,从而实现防止内网用户私设IP的方法,当然这个只能在特定环境下使用,如果在中大型环境下,则配合DHCP Snooping+DAI与ip source guard这些技术是最推荐的。最后的 arp probe interval 10 count 3,它的使用场景,是当DHCP的租期与ARP的缓存时间不复合的时候,才会用到,它的作用是当ARP表的老化时间快要到删除的点的时候,它会在最后的时间段内每10s询问一次ARP表项里面的IP主机是否都在线, 如果3s内没有收到回应,则删除对应ARP表项。这里把租期改为4小时就是与ARP的对应时间一致,也就是说,当租期到期的时候,如果没有续约,则ARP的缓存也正好到期。

4.出口路由器NAT配置,让下面客户端能够访问外网。

ROUTER-GW(config)#ip access-list extended nat
ROUTER-GW(config-ext-nacl)#10 permit ip 192.168.2.0 0.0.0.255 any
ROUTER-GW(config-ext-nacl)#20 permit ip 192.168.3.0 0.0.0.255 any

ROUTER-GW(config)#ip nat inside source list nat interface e1/0 overload

ROUTER-GW(config)#int f0/0.2
ROUTER-GW(config-subif)#ip nat inside

ROUTER-GW(config-subif)#int f0/0.3
ROUTER-GW(config-subif)#ip nat inside

ROUTER-GW(config-subif)#int e1/0
ROUTER-GW(config-if)#ip nat outside
NAT部分,主要是用ACL匹配哪些网段执行NAT,NAT的内容是,匹配了该ACL的网段,通过外网接口访问Internet,做端口PAT转换,并且在内网子接口与外网接口启用。

5.测试

dhcp
dhcp

可以看到已经获取到了DHCP地址,以及有对应的绑定表与ARP表项。

dhcp
dhcp

访问公网也没任何问题。

接下来测试下手动配置IP是否有问题。

dhcp

这里手动配置了一个IP地址,2.2的。

dhcp

它网关都不能Ping通,另外出口路由器上面也没对应的ARP表项。

dhcp

这个也说明了,如果是静态配置的IP,是不能产生动态ARP信息的,使得静态IP访问无效。

假设该地址是一台服务器或者打印机的话,可以通过静态绑定来实现让它访问

ROUTER-GW(config)#arp 192.168.2.2 000c.29a4.46ed arpa

dhcp

可以看到这样就可以正常访问了。

VLAN3测试省略

总结:对于DHCP ARP安全技术来说,这里只能当一个features来了解,因为它并不是适合主流的场合,适合一个小的环境,一种廉价的解决方案,对于架构层次多,而且复杂的来说,更加推荐使用DHCP Snooping与ip source guard这些技术。

关于博客资源下载说明

首先,感谢大家对网络之路博客的支持,本站所有资源都是开放下载,不做任何限制,资源都是上传在百度盘,分为两种类型:
(1)第一种是书籍PDF与视频类,全部放在博客分享,觉得对大家学习有帮助的博主会收集好、然后以博主的经验整理分类后排序好分享出来。
(2)第二种是技术性文章与视频,全部放在公众号(网络之路博客)/B站(网络之路Blog)发布,以博主原创为主,主要分享系列为主,由浅入深的带大家了解工作中常用到的一些网络技术,当然也会分享一些比较经典的案例。
(3)分享资源有涉及到您的利益以及版权问题,请联系博主,24小时候内删除。
想第一时间收到最新更新内容吗,点击获取~~~

点击查看详情

(广告)博主自主原创最新实战课程

点击查看详情


(广告)远程技术支持(设备调试),有搞不定的找我,价格实惠,为您解决实际工作上的问题

远程技术调试与技术支持,点击查看详情


原创与收集的内容,允许转载,转载时请务必以超链接形式标明文章原始出处,博客地址http://ccieh3c.com。

喜欢 (0)
[]
分享 (0)
公众号:网络之路博客(其他平台网络之路Blog)
分享一些自己懂的技术知识点,希望对大家有帮助。
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址