成功登录路由器以后按下面进行配置:
<>system-view /*进入系统模式*/
[]dhcp enable /*开启dhcp服务*/
[]dhcp snooping enable /*开启dhcp过滤功能*/ -----------------------------------
[]interface e0/0/0 /*进入e/0/0接口*/
[]ip address 192.168.1.254 255.255.255.0 /*为e0/0/0配置IP地址*/
[]dhcp select global /*dhcp从全局获取*/
[]quit /*退出*/
-------------------------------------
[]ip pool 1 /*创建地址池*/
[ip-pool-1]gateway-list 102.168.1.254 /*网关地址*/
[ip-pool-1]network 192.168.1.0 mask 255.255.255.0 /*需要启用dhcp服务的网络*/
[ip-pool-1]dns-list 202.106.96.128 202.106.96.120 /*dns列表*/
[ip-pool-1]excluded-ip-address 192.168.1.1 192.168.1.10 /*不参与dhcp分配的ip地址范围*/
[ip-pool-1]lease day 10 hour 0 minute 0 /*地址租用天数*/ ---------------------------------------
/*至此路由器下面的所有端口即可通讯了,且根据自己的IP地址对接口下的IP地址进行分配IP地址,如果接口比较多的时候可以重复配置以上过程即可* /
为了防止网络中非法dhcp向用户提供dhcp服务,可以使用dhcp snooping(dhcp探测功能)。
DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息(也就是非法dhcp服务器)。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息,该技术在接口上设置是否信任该接口上连接的dhcp服务器(如果有)。
当交换机开启了 DHCP-Snooping后,交换机所有端口会对自己 接受 来的DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。
默认情况下开启了DHCP Snooping后,交换机所有接口都被设置为不信任状态,就是任何一个端口收到dhcp服务器的offer响应包后都会丢弃,可以手动配置合法dhcp所在的端口为信任端口,不丢弃dhcp服务器向外发送的offer包,来实现dhcp的安全。
一般所有交换机都开启dhcp snooping功能,信任接口一般都是sw之间相连的接口(如果是汇聚层交换机的话需要在该交换机连接上游核心sw和下游接入sw的接口上都开启dhcp trust才可以,核心L3层交换机作为dhcp服务器的话),非信任接口都是sw连接PC的接口。
session 3 dhcp的配置实例
拓扑如下:
根据拓扑配置,要求PC1和PC2分别在不同的vlan中获取AR2这台DHCP分配的ip地址,并且在LSW2和AR2上开启dhcp snpooping功能防止非法dhcp服务器接入网络和非法用户对于AR2的dhcp泛红攻击,在LSW2上开启中继代理功能为PC1和P2代理dhcp服务器的ip地址。
具体配置如下:
一、将AR2配置成dhcp服务器
[Huawei]interface g0/0/0
[Huawei-GigabitEthernet0/0/0] ip address 12.1.1.2 255.255.255.0
[Huawei-GigabitEthernet0/0/0] quit
[Huawei]
[Huawei] ip pool net1 配置为vlan2分配IP地址的地址池,名为net1
[Huawei-ip-pool-net1] network 192.168.1.0 mask 255.255.255.0 分配的ip是192.168.1.0/24
[Huawei-ip-pool-net1] gateway-list 192.168.1.1
[Huawei-ip-pool-net1] dns-list 218.30.19.40 61.134.1.4
[Huawei-ip-pool-net1] static-bind ip-address 192.168.1.10 mac-address 0000-1111-2222 为固定mac分配固定ip
[Huawei-ip-pool-net1] excluded-ip-address 192.168.1.2 不分配的ip地址
[Huawei-ip-pool-net1] quit
[Huawei]
[Huawei] ip pool net2 配置为vlan2分配IP地址的地址池,名为net1
[Huawei-ip-pool-net2] network 192.168.2.0 mask 255.255.255.0 分配的ip是192.168.1.0/24
[Huawei-ip-pool-net2] gateway-list 192.168.2.1
[Huawei-ip-pool-net2] dns-list 218.30.19.40 61.134.1.4
[Huawei-ip-pool-net2] static-bind ip-address 192.168.2.10 mac-address 0001-1111-2222 为固定mac分配固定ip
[Huawei-ip-pool-net2] excluded-ip-address 192.168.2.2 不分配的ip地址
[Huawei-ip-pool-net2] quit
[Huawei]
[Huawei]interface g0/0/0
[Huawei-GigabitEthernet0/0/0] ip address 12.1.1.2 255.255.255.0
[Huawei-GigabitEthernet0/0/0] dhcp select global 接口下开启器全局DHCP分配功能
[Huawei-GigabitEthernet0/0/0] quit
[Huawei]dhcp server ping packet 10 timeout 100 配置dhcp服务器分配某个ip之前先探测该ip是否已被网络中pc使用的功能,dhcp服务器会向该ip地址发10个包且每次100ms,无应答才会分配该ip地址给客户端
[Huawei]dhcp check dhcp-rate enable 开启dhcp的速率检测功能开关
[Huawei]dhcp check dhcp-rate 90 检测收到dhcp请求包的速率最大为90个/s,默认100个/s,防止dhcp泛红攻击
[Huawei] quit
[Huawei] ip route-static 0.0.0.0 0.0.0.0 12.1.1.1 配置一条能够到达客户端网络的默认路由
二、配置SW成为dhcp中继代理为vlan2和vlan3中的客户端提供对应的dhcp中继代理服务,并配置dhcp-snooping功能防止非法的dhcp服务器分配ip地址给客户端
[Huawei]interface Vlanif 1
[Huawei-Vlanif1]ip address 12.1.1.1 255.255.255.0
[Huawei-Vlanif1]quit
[Huawei]
[Huawei]vlan 2 创建vlan2、3
[Huawei-vlan2]quit
[Huawei]vlan 3
[Huawei-vlan3]quit
[Huawei]
[Huawei] interface vlan 2
[Huawei-Vlanif2] ip address 192.168.1.1 255.255.255.0
[Huawei-Vlanif2] dhcp relay server-ip 12.1.1.2 在vlan2中开启dhcp中继功能
[Huawei-Vlanif2] quit
[Huawei]
[Huawei] interface vlan 3
[Huawei-Vlanif3] ip address 192.168.2.1 255.255.255.0
[Huawei-Vlanif3] dhcp relay server-ip 12.1.1.2 在vlan3中开启dhcp中继功能
[Huawei-Vlanif3] quit
[Huawei]
[Huawei]interface g0/0/1 配置接口g0/0/1和g/0/2为access接口
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]
[Huawei]interface g0/0/2
[Huawei-GigabitEthernet0/0/1]port link-type access
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]
[Huawei]vlan 2 将g/0/1接口加入vlan2,g/0/2加入vlan3
[Huawei-vlan2]port g0/0/1
[Huawei-vlan2]quit
[Huawei]
[Huawei]vlan 3
[Huawei-vlan3]port g0/0/2
[Huawei-vlan3]quit
[Huawei]
[Huawei]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2 配置能够到达dhcp服务器的路由
[Huawei]
[Huawei]dhcp snooping enable 开启全局dhcp-snooping检测功能
[Huawei]interface g0/0/3
[Huawei-GigabitEthernet0/0/3]dhcp snooping trusted 在连接dhcp服务器的接口信任dhcp-offer报文
[Huawei-GigabitEthernet0/0/3]quit
[Huawei]
[Huawei]interface g0/0/1
[Huawei-GigabitEthernet0/0/1]dhcp snooping enable 在连接客户端的接口不信任dhcp-offer报文,建议每个连接客户端的接口都配置dhcp-snooping,防止非法dhcp服务器提供ip地址
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]
[Huawei]interface g0/0/2
[Huawei-GigabitEthernet0/0/2]dhcp snooping enable 在连接客户端的接口不信任dhcp-offer报文,建议每个连接客户端的接口都配置dhcp-snooping,防止非法dhcp服务器提供ip地址
[Huawei-GigabitEthernet0/0/2]quit
[Huawei]
三、完成配置后,可以 再 客户端pc1和pc2上使用ipconfig/renew来获取ip地址
