一、实验拓扑
二、实验需求
实验一
????????R1作为DHCP服务器,R2作为DHCP中继,R3作为DNS服务器,实现为PC1和PC2分配IP地址,其中,PC2的IP地址分配固定值192.168.1.100,DNS服务器解析要求可以将www.shuofangniao.com解析为12.1.1.1。
实验二
????????在实验一的基础上,将R3作为虚假的DHCP server,验证虚假DHCP server攻击的效果;最后,激活交换机的DHCP snooping 功能,消除虚假DHCP server的影响。
三、实验一配置及效果
(一)实验一配置
????????步骤一:按照拓扑图分配IP地址,其中R1、R2、R3的IP地址的主机位分别为1、2、3,并启用OSPF协议,保证中继上作为网关的IP地址能够与DHCP服务器通信。
????????过程略。
????????步骤二:在R1上启动DHCP 功能,并设置地址池、为PC2进行MAC-IP地址绑定,并绑定dns服务器,最后在G0/0/0接口下启用全局dhcp。
对 R1:
[DHCP SE]dhcp enable
[DHCP SE]ip policy-based-route
[DHCP SE-ip-pool-dhcp]gateway-list 192.168.1.2
[DHCP SE-ip-pool-dhcp]network 192.168.1.0 mask 24
[DHCP SE-ip-pool-dhcp]static-bind ip-address 192.168.1.100 mac-address 2222-2222-2222 //这里因为提前将PC2的mac地址改为了2222-2222-2222,实际配置时输入PC2的MAC地址即可,注意格式
[DHCP SE-ip-pool-dhcp]dns-list 192.168.1.3
[DHCP SE]int g0/0/0
[DHCP SE-GigabitEthernet0/0/0]dhcp select global
????????步骤三: 在R2上启用DHCP功能,并在G0/0/1接口下启用DHCP 中继,设置正确的DHCP服务器地址。
[DHCP RE]dhcp enable
[DHCP RE]int g0/0/1
[DHCP RE-GigabitEthernet0/0/1]dhcp select relay
[DHCP RE-GigabitEthernet0/0/1]dhcp relay server-ip 12.1.1.1????????步骤四:在R3上配置dns代理服务,并绑定www.shuofangniao.com 和12.1.1.1
对R3:
[DNS]dns server 192.168.1.3
[DNS]dns proxy enable
[DNS]ip host www.shuofangniao.com 12.1.1.1(二)实验一效果
????????效果一:PC1和PC2获取到了正确的IP地址(记得打开PC上的DHCP模式)
PC1:
?PC2:
????????效果二:与www.shuofangniao.com通信时指向了12.1.1.1
?四、实验二配置及效果
????????步骤一:在R3上开启DHCP服务,并选择接口下的DHCP分配,实现虚假DHCP server欺骗。
[DNS]dhcp en
[DNS]int g0/0/0
[DNS-GigabitEthernet0/0/0]dhcp select interface????????效果一:PC1和PC2的网关换成了R3,表示PC1和PC2已被虚假DHCP server欺骗。
PC1:
PC2:
????????步骤二:在交换机上开启DHCP snooping,实现防止DHCP server 欺骗,其中E0/0/1设为信任接口。
对S1:
[S1]dhcp snooping enable
[S1]int e0/0/1
[S1-Ethernet0/0/1]dhcp snooping enable
[S1-Ethernet0/0/1]dhcp snooping trusted
[S1-Ethernet0/0/1]int e0/0/2
[S1-Ethernet0/0/2]dhcp snooping enable
[S1-Ethernet0/0/2]int e0/0/03
[S1-Ethernet0/0/3]dhcp snooping enable????????效果二:PC1和PC2的IP地址及网关恢复正常
PC1:
PC2:
五、注意事项
① 实验二的配置要基于实验一的基础。
② DHCP中继要配置在中继设备与下级交换机的直连接口上。
③ 注意DHCP服务器的gateway-list应为中继设备与下级交换机的直连接口的IP地址。
④ 在DHCP配置修改后,应将PC的IP获取模式重新更换一下后再测试效果。
⑤ 配置DHCP snooping 时注意在相应的接口下配置信任接口。????????