项目三任务十二 网络设备防范DHCP 欺骗攻击.pptxVIP

任务描述?DHCPServer和DHCPClient之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。如果该DHCP服务器为用户分配错误的IP地址和其他网络参数，将会对网络造成非常大的危害。假设你是公司的网络管理员，你如何在网络设备上作适当配置防止DHCP欺骗攻击发生。知识链接1．DHCPSnooping简介DHCPSnooping是?DHCP?的一种安全特性，主要应用在交换机上，可以屏蔽接入网络中的非法的?DHCP?服务器。即开启DHCPSnooping功能后，网络中的客户端只有从管理员指定的?DHCP?服务器获取IP地址。2．DHCPSnooping机制在DHCPsnooping环境中，可以将交换机端口视为trust或untrust两种安全级别，也就是信任或非信任接口。将连接合法DHCP服务器的接口配置为trust。只有trust接口上收到的来自DHCP服务器的报文才会被放行。任务十二网络设备防范DHCP欺骗攻击

3．DHCPSnooping配置命令Switch(config)#ipdhcpsnoopingSwitch(config)#ipdhcpsnoopingvlan10注：在Vlan10启用dhcpsnooping。Switch(config-if)#ipdhcpsnoopinglimitrate10注：dhcp包的转发速率，超过后接口就shutdown，默认不限制。Switch(config-if)#ipdhcpsnoopingtrust注：这个端口设置为信任端口。Switch(config-if)#noipdhcpsnoopingtrust注：这个端口设置为不信任端口。Switch#showipdhcpsnooping注：查看DHCP探测状态。任务十二网络设备防范DHCP欺骗攻击

任务实施1．任务拓扑图及要求说明已知路由器上已配置DHCP服务，在三层交换机上配置了DHCP中继代理，已能给Vlan10内的用户分配192.168.10.0网段的IP地址，给Vlan20内的用户分配192.168.20.0网段的IP地址，拓扑结构如图所示。本任务在交换机B和交换机C上启用DHCPSnooping功能，防止用户受到DHCP服务欺骗。F0/0F0/24F0/22F0/22F0/23F0/23F0/1PC1Vlan10PC2Vlan20SwitchASwitchBRouterSwitchCF0/1任务十二网络设备防范DHCP欺骗攻击

2．实施步骤1）路由器Router的配置Router(config)#interfacefastEthernet0/0Router(config-if)#ipaddress192.168.30.2255.255.255.0Router(config)#servicedhcpRouter(config)#ipdhcppoolvlan10Router(dhcp-config)#network192.168.10.0255.255.255.0Router(dhcp-config)#default-router192.168.10.254Router(dhcp-config)#dns-server211.70.1.6Router(config)#ipdhcppoolvlan20Router(dhcp-config)#network192.168.20.0255.255.255.0Router(dhcp-config)#default-router192.168.20.254Router(dhcp-config)#dns-server211.70.1.6Router(config)#routerripRouter(config-router)#network192.168.30.0任务十二网络设备防范DHCP欺骗攻击

2）三层交换机SwitchA的配置SwitchA(config-vlan)#vlan10SwitchA(config-vlan)#vlan20SwitchA(config-vlan)#vlan30SwitchA(config)#interfacevlan10SwitchA(config-if)#ipaddress192.168.10.254