R1即使服务器(给予dhcp的地址的)
[LSW1]int Eth-Trunk 12
[LSW1-Eth-Trunk12]mode manual load-balance //配置链路聚合模式为手工负载分担模式
[LSW1-Eth-Trunk12]load-balance src-dst-mac //配置基于源目IP的负载分担模式
[LSW1-Eth-Trunk12]trunk port g 0/0/1 0/0/2
[LSW1-Eth-Trunk12]port link-type t
[LSW1-Eth-Trunk12]p t a vlan all
[LSW1]port-group 1
[LSW1-port-group-1]group-member g0/0/3 g0/0/4
[LSW1-port-group-1]p l t
[LSW1-port-group-1]p t a vlan all
//LSW2也如法炮制
[LSW3]vlan batch 10 20 30
[LSW3-GigabitEthernet0/0/1]p l a
[LSW3-GigabitEthernet0/0/1]p d vlan 10
[LSW3]port-group 1
[LSW3-port-group-1]group-member g0/0/2 g0/0/3
[LSW3-port-group-1]p l t
[LSW3-port-group-1] p t a vlan all
[LSW4]vlan batch 10 20 30
[LSW4-GigabitEthernet0/0/1]p l a
[LSW4-GigabitEthernet0/0/1]p d vlan 20
[LSW4-GigabitEthernet0/0/1]int g0/0/2
[LSW4-GigabitEthernet0/0/2]p l a
[LSW4-GigabitEthernet0/0/2] p d vlan 30
[LSW4]port-group 1
[LSW4-port-group-1]group-member g0/0/3 g0/0/4
[LSW4-port-group-1]p l t
[LSW4-port-group-1]p t a vlan all
//配置全开通是因为我们只开启了vlan 10 20 30,所以全开也不会影响
//LSW1-4全配置
[LSW4]stp region-configuration //进入生成树协议的区域配置模式
[LSW4-mst-region]region-name HUAWEI //设置MST区域的名称为HUAWEI
[LSW4-mst-region]revision-level 12 //设置MST区域的修订级别为12。这个级别用于确保在MSTP环境中不同交换机的配置一致性
[LSW4-mst-region]instance 10 vlan 10 //将VLAN 10分配给MST实例10。MSTP允许将多个VLAN映射到一个MST实例,这样可以减少生成树的实例数量,优化网络性能
[LSW4-mst-region]instance 20 vlan 20 //将VLAN 20分配给MST实例20
[LSW4-mst-region]active region-configuration //激活上述配置的MST区域设置
//LSW1中STP的vlan10为主,vlan20为次
[LSW1]stp instance 10 root primary
[LSW1]stp instance 20 root secondary
[LSW2]stp instance 10 root secondary
[LSW2]stp instance 20 root primary
//告一段
[LSW1-Vlanif10]ip address 192.168.10.252 24
[LSW1-Vlanif10]vrrp vrid 1 virtual-ip 192.168.10.254
[LSW1-Vlanif10]vrrp vrid 1 priority 105 //vrrp中优先高于LSW2
[LSW1-Vlanif10]vrrp vrid 1 preempt-mode timer delay 60 //抢占延时为60s
[LSW1-Vlanif10]vrrp vrid 1 authentication-mode md5 huawei //使用MD5算法对密码进行加密处理,以确保VRRP报文的安全性。配置时需要指定一个加密密钥。MD5认证提供了较高的安全性,适合对安全性要求较高的网络环境
[LSW1-Vlanif20]vrrp vrid 2 virtual-ip 192.168.20.254
[LSW1-Vlanif20]vrrp vrid 2 authentication-mode md5 huawei
//每个MSTP实例都是一个独立的生成树
[LSW2-Vlanif20]ip ad 192.168.20.253 24
[LSW2-Vlanif20]vrrp vrid 2 virtual-ip 192.168.20.254
[LSW2-Vlanif20]vrrp vrid 2 priority 105
[LSW2-Vlanif20]vrrp vrid 2 preempt-mode timer delay 60
[LSW2-Vlanif20]vrrp vrid 2 authentication-mode md5 huawei
[LSW2-Vlanif10]vrrp vrid 1 virtual-ip 192.168.10.254
[LSW2-Vlanif10]vrrp vrid 1 authentication-mode md5 huawei
[LSW1-Vlanif30]ip address 192.168.30.252 24
[LSW1-Vlanif30]vrrp vrid 3 virtual-ip 192.168.30.254
[LSW2-Vlanif30]ip address 192.168.30.253 24
[LSW2-Vlanif30]vrrp vrid 3 virtual-ip 192.168.30.254
[LSW2-Vlanif30]vrrp vrid 3 priority 105
//告一段落
//DHCP中继代理是DHCP服务器和客户端之间的中间设备,它可以帮助将DHCP请求从客户端转发到服务器,并将服务器的响应转发回客户端。
[LSW1]dhcp enable
[LSW1-Vlanif10]dhcp select relay
[LSW1-Vlanif10]dhcp relay server-ip 192.168.30.100
[LSW1-Vlanif20]dhcp select relay
[LSW1-Vlanif20]dhcp relay server-ip 192.168.30.100
[LSW2]dhcp enable
[LSW2-Vlanif10]dhcp select relay //VLANIF10接口下配置DHCP中继(relay)模式
[LSW2-Vlanif10]dhcp relay server-ip 192.168.30.100 //配置DHCP中继代理服务器的IP地址
[LSW2-Vlanif20]dhcp select relay
[LSW2-Vlanif20]dhcp relay server-ip 192.168.30.100
//中继代理告一段落
[DHCP-GigabitEthernet0/0/0]ip ad 192.168.30.100 24
[DHCP]dhcp enable
//不能是接口配置dhcp,需要全局配置,因为接口配置的话只能给vlan30配置地址,但是无法给vlan10 20配置地址
[DHCP-GigabitEthernet0/0/0]dhcp select global
//
[DHCP-GigabitEthernet0/0/0]dhcp server dns-list 1.1.1.1
//不加默认路由,DHCP没有路由可以通往LSW2
[DHCP]ip route-static 0.0.0.0 0.0.0.0 192.168.30.254
//配置dhcp中vlan10的地址池
[DHCP]ip pool vlan10
[DHCP-ip-pool-vlan10]network 192.168.10.0 mask 24
[DHCP-ip-pool-vlan10]gateway-list 192.168.10.254
[DHCP-ip-pool-vlan10]dns-list 1.1.1.1
[DHCP-ip-pool-vlan10]ip pool vlan20
[DHCP-ip-pool-vlan20]network 192.168.20.0 mask 24
[DHCP-ip-pool-vlan20]gateway-list 192.168.20.254
[DHCP-ip-pool-vlan20]dns-list 2.2.2.2
//全局但是要排除获取这两个ip地址才对
[DHCP-ip-pool-vlan10]excluded-ip-address 192.168.10.252 192.168.10.253
<DHCP>reset ip pool name vlan10 192.168.10.253
<DHCP>reset ip pool name vlan10 192.168.10.252
//同样vlan20也要
[DHCP-ip-pool-vlan20]excluded-ip-address 192.168.20.252 192.168.20.253
<DHCP>reset ip pool name vlan20 192.168.20.253
<DHCP>reset ip pool name vlan20 192.168.20.252
vrrp中:发送两个vrrp优先级高的报文
中继怎么做:
1、中继怎么配置和服务器在哪里没关系
2、中继要配置在PC所在的网关接口,有几个就配几个(VRRP场景)遇到的问题:
1、给多个VLAN配置地址池时必须使用全局模式,不能使用接口模式
2、给VRRP场景分配地址池时,要注意排除物理接口IP
1、DHCP饿死攻击原理:
客户端通过不断的发送discover报文并不断修改其中的CHADDR字段来向DHCP服务器获取IP地址,导致DHCP服务器地址池耗尽最终导致合法用户无法获取IP地址。
帧头(S.MAC=MAC1) IP() UDP头部() DHCP(chaddr=MAC1)
帧头(S.MAC=MAC1) IP() UDP头部() DHCP(chaddr=MAC2)
帧头(S.MAC=MAC1) IP() UDP头部() DHCP(chaddr=MAC3)
帧头(S.MAC=MAC1) IP() UDP头部() DHCP(chaddr=MACN)
攻击者会在单位时间内发送上千个discover报文,来耗尽服务器地址池。
解决办法:利用DHCP snooping表项来进行防护
1.1
[LSW3]dhcp enable //开启DHCP功能
[LSW3]dhcp snooping enable //开启DHCP snooping功能
[LSW3-vlan10]dhcp snooping enable //开启vlan10的dhcp snooping功能
[LSW3-GigabitEthernet0/0/1]dhcp snooping enable //开启接口的dhcp snooping功能(接口上只在接入交换机开启即可)
1.2
在接入交换机开启dhcp snooping后,可以配置数据链路层中源MAC地址与DHCP报文中CHADDR字段一致性检查。
当检测一致时认为是合法的DHCP报文
检测不一致时认为是非法的DHCP报文,将会被丢弃。
[s3]dhcp snooping check dhcp-chaddr enable vlan 10 //在vlan10下开启一致性检查
黑客变聪明了,把数据链路层中的源MAC和CHADDR的MAC改成一致,就可以躲避一致性检查。
帧头(S.MAC=MAC1) IP() UDP头部() DHCP(chaddr=MAC1)
帧头(S.MAC=MAC2) IP() UDP头部() DHCP(chaddr=MAC2)
帧头(S.MAC=MAC3) IP() UDP头部() DHCP(chaddr=MAC3)
帧头(S.MAC=MACN) IP() UDP头部() DHCP(chaddr=MACN)
解决办法:对于这种情况是没有检查机制的,但是可以通过指定该接口生成的dhcp snooping表项数量来进行控制。
[S3-GigabitEthernete/e/1]dhcp snooping max-user-number 3 //该接口只能生成3个DHCP snooping表项,超额接收则拒绝
2、DHCP客户端伪造DHCP报文攻击
攻击原理:
攻击者仿冒合法客户端向DHCP服务器发送dhcp-request报文去续租IP,造成IP无法被正常回收,导致合法的客户端无法获取IP地址;
攻击者仿冒合法客户端向DHCP服务器发送dhcp-release报文去释放IP,造成合法客户端异常下线。
解决办法:在接入交换机开启DHCP snooping功能。
2.1
[LSW3-GigabitEthernet0/0/1]dhcp snooping check dhcp-request enable //在接口开启dhcp-request消息类型检测
这里的dhcp-request不是request报文种类,而是dhcp的消息类型(request、release)
MAC1 IP1 VLAN10 G0/0/1 每个接口的snooping表象
比如现在pc1伪造成pc2的snooping表象发出去,如果没有在接口配置这条命令,他就发出去了,可以进行续租ip、释放ip等操作,但是配置安全命令后,这个表象就会进行核对,如果表象有一个不一致就拒收
前提是客户端本身就是DHCP,这样接口上才能生成snooping表象。
3、非DHCP客户端伪造DHCP报文攻击
解决办法:
[S3-GigabitEthernet0/0/1]dhcp snooping sticky-mac //开启设备该接口基于DHCP snooping绑定表功能的MAC地址学习机制(粘滞)
解释:该接口一旦开启此功能,那么MAC地址表学习途径只能通过snooping表项学习,如果没有snooping表项生成,那么就无法学习mac地址表,同时该接口无法转发数据!!!
(该功能开启以后意味着这个接口就只能接入DHCP客户端,对于静态客户端将无法入网)
4、DHCP报文泛洪攻击
攻击原理:攻击者本身就是一台合法的DHCP客户端,通过在单位时间内发送大量的自身合法的DHCP报文来占用网络资源。
单位时间内DHCP服务器将接收到大量的合法报文,拥塞DHCP处理模块,导致合法的终端将无法在短时间内正常获取IP地址
解决方案:在接入交换机开启dhcpsnooping功能
4.1 [s3]dhcp snooping check dhcp-rate enable //开启接口处理DHCP报文的频率功能
[S3]dhcp snooping check dhcp-rate 10 //每秒钟只能处理10个DHCP报文,超额发送的将被丢弃
5、DHCP server仿冒攻击
攻击原理:在公司内可能会私接一台TP-LINK路由器,这时如果误接到了LAN口,那么就会造成DHCP服务器仿冒攻击。
公司内合法的DHCP服务器和TP-LINK路由器都会收到客户端发出的discover报文,都会给客户端响应offer,此时对于客户端来说哪个报文相应的快,就会使用哪个服务器下发的IP等参数。
解决办法:
开启dhcp snooping信任接口
5.1 开启了dhcp snooping功能的交换机所有的接口都会默认为非信任接口,需要把交换机距离合法DHCP服务器较近的接口配置为信任接口。
信任接口:
非信任接口:
5.2
非信任接口收到DHCP请求消息时,只转发给信任接口。
非信任接口收到DHCP响应消息时,直接丢弃。
信任接口收到DHCP请求消息时,会转发给其他信任接口,如果没有,则丢弃
信任接口收到DHCP响应消息时,会发给非信任接口。
[S3-GigabitEthernet0/0/3]dhcp snooping trusted 配置该接口为信任接口
6、DHCP中间人攻击
[s3]arp dhcp-snooping-detect enable //开启基于dhcp-snooping绑定表的ARP动态检测功能
开启该功能后,客户端发来的ARP报文将和该接口的snooping表项进行一致性检查,若不一致则丢弃该ARP报文
安全的配置:
[LSW3]dhcp enable //开启DHCP功能
[LSW3]dhcp snooping enable //开启DHCP snooping功能
[LSW3-vlan10]dhcp snooping enable //开启vlan10的dhcp snooping功能
[LSW3-GigabitEthernet0/0/1]dhcp snooping enable //开启接口的dhcp snooping功能(接口上只在接入交换机开启即可)
[LSW1]dhcp enable
[LSW1]dhcp snooping enable
[LSW1-vlan10]dhcp snooping enable
[LSW1-GigabitEthernet0/0/4]dhcp snooping trusted
[LSW1-Eth-Trunkl2ldhcp snooping trusted
[LSW2]dhcp enable
[LSW2]dhcp snooping enable
[LSW2-vlan10]dhcp snooping enable
[LSW2-GigabitEthernet0/0/3]dhcp snooping trusted
[LSW2-Eth-Trunkl2ldhcp snooping trusted
[LSW4]dhcp enable
[LSW4]dhcp snooping enable
[LSW4-vlan10]dhcp snooping enable
[LSW4-GigabitEthernet0/0/2]dhcp snooping trusted
//能去往DHCP的路径就可以开启dhcp snooping功能
