一、模拟场景
1. 内网交换机使用傻瓜式配置,不划分VLAN管理,只用默认的VLAN1。私接路由器启用DHCP功能。
2. 配置说明
1) DHCP SERVER配置
[Huawei]sysname DHCP SERVER
[Huawei]dhcp enable
Info: The operation may take a few seconds. Please wait for a moment.done.
[DHCP SERVER]int Vlanif 1
[DHCP SERVER-Vlanif1]ip address 192.168.10.1 24
[DHCP SERVER-Vlanif1]dhcp select global
[DHCP SERVER]ip pool vlan10
Info:It's successful to create an IP address pool.
[DHCP SERVER-ip-pool-vlan10]network 192.168.10.0 mask 255.255.255.0
[DHCP SERVER-ip-pool-vlan10]gateway-list 192.168.10.1
[DHCP SERVER-ip-pool-vlan10]dns-list 114.114.114.114
2)? Switch配置
只开启dhcp enable服务就行了
[Huawei]sysname Switch
[Switch]dhcp enable
3) Switch1配置
<Huawei>sys
[Huawei]sysname Switch1
[Switch1]dhcp enable
[Switch1]int vlan1
[Switch1-Vlanif1]ip address 192.168.1.1 24
[Switch1-Vlanif1]dhcp select interface
4)? 客户端
查看PC1获取到的IP地址,10网段是由合法DHCP分配的IP地址,用户可以正常上网。
执行ipconfig /release,然后ipconfig /renew重新获取IP,可以看到终端PC1获取到了ATTACK DHCP上分配的DHCP地址,这就导致用户无法上网,严重的话会导致整个局域网出现断网。如下图:
使用wireshark抓包查看客户端请求dhcp地址过程,可以看到客户端使用源地址0.0.0.0发送一个广播包到255.255.255.255,寻找网络的DHCP服务器,如果内网中存在多个DHCP服务器,最先响应客户端的DHCP请求报文的DHCP服务器将负责向客户端发送ack报文,并向客户端分配IP地址。
至于DHCP服务器会向客户端分配哪一个可用的IP地址,首先DHCP服务器会使用网关地址向pool中的地址发送icmp(type 8)请求,确认该IP是可用的。
查看数据包报文信息,显示源地址(Source)为网关,目标地址(Destination)为192.168.1.254,ICMP协议包类型(type)为8,代码(code)为0。
二、模拟场景2
1. 内网交换机划分VLAN管理,并配置DHCP服务,私接路由器使用默认的VLAN1,默认开启DHCP功能。
2. 配置说明
1)在DHCP SERVER上取消pool地址和vlan1接口配置
?? <DHCP SERVER>sys
?? [DHCP SERVER]undo ip pool vlan10
?? [DHCP SERVER]int vlan1
?? [DHCP SERVER-Vlanif1]undo ip address 192.168.10.1 24
?? [DHCP SERVER-Vlanif1]undo dhcp select global
2) 创建VLAN
?? [DHCP SERVER]vlan 10
?? [DHCP SERVER-vlan10]int vlan10
?? [DHCP SERVER-Vlanif10]ip address 192.168.10.1 24
?? [DHCP SERVER-Vlanif10]dhcp select interface
3) 将接口加入vlan10
? [DHCP SERVER]int g0/0/1
? [DHCP SERVER-GigabitEthernet0/0/1]port link-type access
? [DHCP SERVER-GigabitEthernet0/0/1]port default vlan 10
4) Swithc配置
?<Switch>sys
? [Switch]vlan 10
? [Switch]int vlan10
? [Switch-Vlanif10]ip address 192.168.10.2 24
? [Switch]interface g0/0/3
? [Switch-GigabitEthernet0/0/3]port link-type access
? [Switch-GigabitEthernet0/0/3]port default vlan 10
? [Switch]interface g0/0/1
? [Switch-GigabitEthernet0/0/1]port link-type access
? [Switch-GigabitEthernet0/0/1]port default vlan 10
? [Switch-GigabitEthernet0/0/1]int g0/0/2
? [Switch-port-group-link-type]port link-type access
? [Switch-port-group-link-type]port default vlan 10
?5) Switch1配置
? <Huawei>sys
? [Huawei]sysname Switch1
? [Switch1]dhcp enable
? [Switch1]int vlan1
? [Switch1-Vlanif1]ip address 192.168.1.1 24
? [Switch1-Vlanif1]dhcp select interface
6) 查看客户端PC1获取地址信息
执行ipconfig /release,然后ipconfig /renew重新获取IP,可以看到终端PC1获取到了ATTACK DHCP上分配的DHCP地址,这就导致用户无法上网,严重点会导致整个局域网断网。
三、如何排查小路由器接到内网的那个交换机上?
1)首先在DHCP SERVER核心交换机上先ping一下192.168.1.1,看网络能否通。
2)执行display ip routing-table查看路由表,发现没有192.168.1.0网段的路由表信息,这就说明了为什么不能ping通的原因。
3)在受影响的交换机上连接主机进行抓包确认源192.168.1.1是从那个交换机接入的,如这里的Switch。在受影响终端PC5执行ipconfig /release释放IP地址,然后ipconfig /renew重新获取。在主机上可以看到以下dhcp ACK包信息,可以看到4c1f-cca4-7f49为192.168.1.1网关的MAC地址,5489-98b0-5142为终端PC5的MAC地址。
4)在Switch上执行display mac-address查看4c1f-cca4-7f49是从那个接口学习到的,显示是从接口GE0/0/2上学习到的,现在大概知道路由器是在那里了,先看下有没标签,这样就能快速找到设备在哪里,是谁接入的。如果没有标签可以先将线拨下或者关闭该端口,最后坐等对方上门。
5)最后,在Switch1交换机上执行display interface GigabitEthernet查看接口对应的MAC地址
6)最后说明,以上均需要在可网管交换机上才能执行。非网管交换机上只能先到受影响用户所在交换机上拨线,然后观察看看,如果没有效果,就要到汇聚或核心上进行拨线。