至此,DHCP服务器搭建完毕。
下面有的人在企业中搭建了非法的DHCP服务器AR2.
5.4、在AR2上也配置相同的DHCP5.4.1这个配置和AR1配置不同的是dns,来区别是哪个DHCP服务器[AR2]dhcp enable
[AR2]ip pool vlan10
[AR2-ip-pool-vlan10] gateway-list 192.168.10.254
[AR2-ip-pool-vlan10] network 192.168.10.0 mask 255.255.255.0
5.4.2、在路由器与交换机连接的接口上开启全局dhcp模式[AR2-ip-pool-vlan10] dns-list 4.4.4.4
dhcp select global,意思调用一个全局模式下建立的地址池(ip pool) 网关。
[AR2-ip-pool-vlan10]int g0/0/2
5.5、测试获得IP地址5.5.1、PC1开启DHCP获得IP地址功能[AR2-GigabitEthernet0/0/2]dhcp select global
现在其应该在同一vlan(vlan10)中的DHCP服务器获得Ip,即从AR2上获得,由于其距离PC1近,所以响应的快速。
由上图知悉,dns是4.4.4.4是非法DHCP服务器AR2提供的地址。
5.5.2、在交换机全局模式下开启dhcp snooping 功能[SW1]dhcp snooping enable
5.6、验证[SW1]dhcp snooping enable vlan 10
在PC1上先清除DHCP获得的地址
PC>ipconfig /release
重新获得
PC>ipconfig /renew
由上图知悉,PC1获得的DNS地址是8.8.8.8,这是合法的DHCP服务器的DNS地址,所以PC1是从合法的DHCP服务器AR1上获得的IP地址。
六、建议实际使用中,推荐大家在用户接入层交换机上面部署DHCP Snooping功能,越靠近PC端口控制得越准确。而每个交换机的端口推荐只连接一台PC,否则如果交换机某端口下串接一个Hub,在Hub上连接了若干PC的话,那么如果凑巧该Hub下发生DHCP欺骗,由于欺骗报文都在Hub端口间直接转发了,没有受到接入层交换机的DHCP Snooping功能的控制,这样的欺骗就无法防止了。
所以网络中,除了技术防护,还需要配合管理制度的防护,才能最大限度确保网络安全。
