三通IT学院—实验五 DHCP安全管理.doc

计算机与信息工程学院——交换原理与技术 实验指导 计算机与信息工程学院——交换原理与技术 实验指导 PAGE 12 PAGE 4 PAGE 1 实验五 DHCP安全管理 实验学时：2 实验类型：验证 一、实验目的 1. 掌握DHCP中继工作原理； 2. 掌握DHCP snooping工作原理； 3. 掌握基于DHCP snooping的IP源防护的配置和管理方法； 4. 能够综合运用相关技术解决IP地址欺骗、ARP攻击及私有DHCP server等多种问题。 二、实验条件 Cisco 3750交换机、两台Cisco 2811路由、H3C 3610交换机、PC机。 三、实验原理及相关知识 通过DHCP中继、DHCP Snooping及IPSG源防护，实现DHCP安全管理。 四、实验步骤 1. 实验介绍 ⑴ 拓扑结构 ⑵ 情景分析：如图， = 1 \* GB3 ① 以R0路由器为合法的DHCP server 并为PC分配IP地址； = 2 \* GB3 ② 以Cisco 3750为汇聚交换机提供DHCP 中继； = 3 \* GB3 ③ 以H3C 3610为接入交换机提供DHCP Snooping和IP源防护功能； = 4 \* GB3 ④ 以R1路由器为非法、私有的DHCP Server，并冒充合法DHCP server提供IP地址。 = 3 \* GB2 ⑶ 实验达到的目标： = 1 \* GB3 ① PC通过Cisco 3750汇聚交换机的中继功能，可以获得与本机不在同一子网的合法DHCP Server分配的IP地址； = 2 \* GB3 ② 通过H3C 3610接入交换机的DHCP Snooping功能不允许非法DHCP Server的接入，同时不允许用户伪造MAC地址； = 3 \* GB3 ③ 通过H3C 3610接入交换机的IP源防护功能，杜绝用户静态配置IP地址和IP地址欺骗。 2. DHCP中继实验 ⑴ 合法DHCP Server的配置(以R0为合法Server) en conf t hostname DHCPsever ip dhcp pool vlan10 //VLAN10的地址池 network 192.168.10.0 default-router 192.168.10.1 exit ip dhcp pool vlan20 //VLAN20的地址池 network 192.168.20.0 default-router 192.168.20.1 ip dhcp excluded-address 192.168.10.1 ip dhcp excluded-address 192.168.20.1 int f0/0 ip add 10.1.1.1 255.255.255.0 //与汇聚交换机的互连地址，也是DHCP Server的地址 no sh exit ip route 0.0.0.0 0.0.0.0 10.1.1.2 ⑵ 汇聚交换机Cisco 3750的配置(DHCP 中继、SVI) en conf t hostname 3750 ip routing //启用路由功能 int f0/24 //三层接口，连接合法DHCP Server no switchport ip add 10.1.1.2 255.255.255.0 //配置IP地址 no sh exi vlan 10 //建立VLAN 10 exi vlan 20 //建立VLAN 20 exi int vlan 10 ip add 192.168.10.1 255.255.255.0 //VLAN10 SVI no sh ip helper-address 10.1.1.1 //DHCP 中继，VLAN10中所有PC从该DHCP获取地址 exit int vlan 20 ip add 192.168.20.1 255.255.255.0 no sh ip helper-address 10.1.1.1 //中继 exi int f0/1 switchport trunk encapsulation dot1q switchport mode trunk end ⑶ 接入交换机H3C 3610 sy int Ethernet1/0/1 //与汇聚交换机互连端口，设为Trunk port link-type trunk quit vlan 10 //建立VLAN10 port Ethernet 0/0/2 //把端口即PC0放入VLAN10 quit vlan 20 //建立VLAN20 port Ethernet 0/0/3 //把PC1放入VL