项目7-任务3 DHCP Snooping的配置与调试

实训任务书项目7安全网络技术的配置与调试任务3DHCPSnooping的配置与调试班级：学号：目录TOC\o"1-2"\h\u21555一、实训目标 212753二、实训环境 227123三、任务描述 22636四、任务分析 323541五、实训内容 3266361、任务结果提交 3135672、任务拓展（选做） 4238513、任务拓展结果提交（选做） 620360六、实训总结 8122881、收获与心得体会 8162192、存在的问题 8一、实训目标通过本次实训，应能够：（1）理解DHCPSnooping原理与防非法DHCP服务器的作用。（2）掌握华为交换机DHCP服务与DHCPSnooping的配置方法。（3）学会使用命令验证配置、查看绑定表与地址池使用状态。（4）能够排查DHCP欺骗、私接路由导致的IP冲突与上网故障。二、实训环境双核计算机，内存4G以上，并安装以下软件：（1）Windows7即以上操作系统，安装华为eNSP软件（V100R001C00版本及以上）。（2）实训用到的素材文件，请从配套课程网站下载或者教材配套电子资源中获取。三、任务描述宏宏互联科技有限公司的局域网有大量用户，局域网内部网络面临着计算机病毒的扩散和内部人员的恶意攻击威胁。该公司已经部署了DHCP服务器。为了防止有用户将非法的DHCP服务器接入网络，如自带的无线小型路由器等，导致正常用户获取到错误的IP地址而无法上网或导致正常用户获取到冲突的IP地址，需要部署DHCPSnooping。配置DHCPSnooping的网络拓扑图如图1-1所示。图1-1配置DHCPSnooping的网络拓扑图四、任务分析要实现本任务，首先需要在核心交换机上配置DHCP服务器，然后需要在接入层交换机上配置DHCPSnooping，最后需要进行验证测试。五、实训内容（1）配置DHCP服务器功能。在核心交换机SWA上配置DHCP服务器功能。（2）配置DHCPSnooping。在接入层交换机SWB上配置DHCPSnooping。任务测试（1）在交换机SWB上执行displaydhcpsnoopingconfiguration命令，查看DHCPSnooping的配置信息。（2）在连接SWB的端口（如GE0/0/2）的终端上执行ipconfig/renew命令，查看获取的IP地址。（3）在核心交换机SWA上执行displayippoolinterfacevlanif10used命令，查看地址池中已经使用的IP地址的信息。（4）在接入层交换机SWB上执行displaydhcpsnoopinguser-bindall命令，查看DHCPSnooping绑定表信息。（1）截图1：在SWA上查看DHCPSnooping配置信息设备命令：displaydhcpsnoopingconfiguration显示截图2：PC获取合法IP地址设备：PC1/PC2命令：ipconfig/renew→ipconfig（3）截图3：在核心交换机SWA上查看合法DHCP地址池使用情况命令：displayippoolinterfacevlanif10used（4）截图4：在接入层SWB上查看DHCPSnooping绑定表命令：displaydhcpsnoopinguser-bindall企业网络中部署合法DHCP服务器与接入层交换机SWA，内网存在私接无线路由器并开启DHCP功能的现象，仿冒合法DHCP服务器向终端分配错误网段IP，导致终端无法上网。需通过配置DHCPSnooping，划分信任/非信任端口，拦截非法DHCP报文，保障终端仅从合法服务器获取IP地址，网络拓扑图如1-2如示。图1-2任务拓展的网络拓扑图任务分析本任务拓展需解决内网私接非法DHCP服务器导致终端获取错误IP的问题，先在合法路由器RA配置正确网段的DHCP地址池，在非法路由器RB配置错误网段DHCP地址池模拟攻击源，再在接入交换机SWA全局与VLAN下开启DHCPSnooping，将连接合法DHCP服务器的端口设为信任端口，其余用户与非法服务器端口保持非信任状态，以此拦截非法DHCP响应报文，最后通过查看配置、地址池占用及DHCPSnooping绑定表验证终端仅能从合法服务器获取IP，实现防DHCP欺骗的安全目标。二、配置步骤（1）在合法DHCP服务器RA上配置<Huawei>system-view [Huawei]undoinfo-centerenable[Huawei]sysnameRA[RA]dhcpenable[RA]ippoollegal_vlan10[RA-ip-pool-legal_pool]network192.168.1.0mask255.255.255.0[RA-ip-pool-legal_pool]excluded-ip-address192.168.1.101192.168.1.253[RA-ip-pool-legal_pool]gateway-list192.168.150.254[RA-ip-pool-legal_pool]dns-list114.114.114.114[RA-ip-pool-legal_pool]leaseday1[RA-ip-pool-legal_pool]quit[RA]interfaceGigabitEthernet0/0/0[RA-GigabitEthernet0/0/0]interfaceGigabitEthernet0/0/0[RA-GigabitEthernet0/0/0]ipaddress192.168.1.254255.255.255.0[RA-GigabitEthernet0/0/0]dhcpselectglobal [RA-GigabitEthernet0/0/0]quit[RA]（2）在非法DHCP服务器RB上配置<Huawei>system-view [Huawei]undoinfo-centerenable[Huawei]sysnameRB[RB]dhcpenable[RB]ippoolfake_pool[RB-ip-pool-fake_pool]network192.168.150.0mask255.255.255.0[RB-ip-pool-fake_pool]excluded-ip-address192.168.150.201192.168.150.253[RB-ip-pool-fake_pool]gateway-list192.168.150.254[RB-ip-pool-fake_pool]dns-list8.8.8.8[RB-ip-pool-fake_pool]leaseday1[RB-ip-pool-fake_pool]quit[RB]interfaceGigabitEthernet0/0/0[RB-GigabitEthernet0/0/0]interfaceGigabitEthernet0/0/0[RB-GigabitEthernet0/0/0]ipaddress192.168.150.254255.255.255.0[RB-GigabitEthernet0/0/0]dhcpselectglobal [RB-GigabitEthernet0/0/0]quit[RB]（3）在接入层交换机SWA上配置[Huawei]sysnameSWA[SWA]dhcpenable[SWA]dhcpsnoopingenable[SWA]vlan10[SWA-vlan10]dhcpsnoopingenable[SWA-vlan10]interfaceGigabitEthernet0/0/5[SWA-GigabitEthernet0/0/5]portlink-typeaccess[SWA-GigabitEthernet0/0/5]portdefaultvlan10[SWA-GigabitEthernet0/0/5]dhcpsnoopingtrusted[SWA-GigabitEthernet0/0/5]quit[SWA]interfaceGigabitEthernet0/0/4[SWA-GigabitEthernet0/0/4]portlink-typeaccess[SWA-GigabitEthernet0/0/4]portdefaultvlan10[SWA-GigabitEthernet0/0/4]interfaceGigabitEthernet0/0/1[SWA-GigabitEthernet0/0/1]portlink-typeaccess[SWA-GigabitEthernet0/0/1]portdefaultvlan10[SWA-GigabitEthernet0/0/1]interfaceGigabitEthernet0/0/2[SWA-GigabitEthernet0/0/2]portlink-typeaccess[SWA-GigabitEthernet0/0/2]portdefaultvlan10[SWA-GigabitEthernet0/0/2]interfaceGigabitEthernet0/0/3[SWA-GigabitEthernet0/0/3]portlink-typeaccess[SWA-GigabitEthernet0/0/3]portdefaultvlan10[SWA-GigabitEthernet0/0/3]return<SWA>（1）截图1：查看DHCPSnooping配置信息命令：di