Лабораторная работа № 5: DHCP, Source Guard и 802.1X

Основная цель этой лабораторной работы — понимание того, как реализовать и проверить функции и безопасность DHCP Cisco IOS, IP Source Guard и безопасность на основе портов IEEE 802.1 X.

Топология лабораторной сети проиллюстрирована ниже:

Рис. 1 Топология сети

Задание 1

Отключите VTP на всех коммутаторах. Все коммутаторы должны поддерживать настройку, изменение и удаление сетей VLAN.

Задание 2

Настройте VLAN 100 на коммутаторах ALS1 и DLS1, а затем настройте SVI 100 на коммутаторе DLS1. Этому SVI должен быть присвоен адрес 100.1.1.1/24. Настройте VLAN 200 на коммутаторах DLS1 и DLS2, а затем настройте SVI 200 на коммутаторах DLS1 и DLS2. Назначьте этим интерфейсам IP-адреса 200.1.1.1/30 и 200.1.1.2/30 соответственно.

Задание 3

Настройте порты между DLS1 и ALS1 и между ALS1 и R1 как порты доступа в VLAN 100. Затем настройте порты между DLS1 и DLS2 как порты доступа в VLAN 200. Убедитесь, что DLS1 и DLS2 могут пинговать друг друга через VLAN 200.

Задание 4

Настройте функции DHCP-сервера Cisco IOS на коммутаторе DLS2 следующим образом:

  • Сеть/маска: 100.1.1.0/24
  • Исключенные адреса: 100.1.1.1 — 100.1.1.5
  • Шлюз по умолчанию: 100.1.1.1
  • Доменное имя: 101labs.net
  • Срок аренды: 8 часов

Задание 5

Настройте DHCP Relay Agent Cisco IOS на коммутаторе DLS1. Он должно указывать на коммутатор DLS2, который будет предоставлять услуги DHCP для сети 100.1.1.0/24. Убедитесь, что сеть правильно настроена, чтобы DHCP-сервер мог назначать адреса хостам в сети 100.1.1.0/24.

Задание 6

Настройте DHCP Snooping на коммутаторе DLS1. Порт, к которому подключен DHCP-сервер, должен быть доверенным. Все остальные порты следует считать ненадежными. Включите IP Source Guard для VLAN 100.

Задание 7

Настройте маршрутизатор R1 для получения адресации через DHCP. Убедитесь, что DHCP Snooping и IP Source Guard работают правильно, используя соответствующие команды.

Решение

Задание 1

DLS1(config)#vtp mode transparent

Перевод устройства в режим VTP TRANSPARENT

DLS2(config)#vtp mode transparent

Перевод устройства в режим VTP TRANSPARENT

ALS1(config)#vtp mode transparent

Перевод устройства в режим VTP TRANSPARENT

ALS2(config)#vtp mode transparent

Перевод устройства в режим VTP TRANSPARENT

Задание 2

DLS1(config)#vlan 100

DLS1(config-vlan)#exit

DLS1(config)#vlan 200

DLS1(config-vlan)#exit

DLS1(config)#interface vlan 100

DLS1(config-if)#ip address 100.1.1.1 255.255.255.0

DLS1(config-if)#exit

DLS1(config)#interface vlan 200

DLS1(config-if)#ip address 200.1.1.1 255.255.255.252

DLS1(config-if)#exit

DLS2(config)#vlan 200

DLS2(config-vlan)#exit

DLS2(config)#interface vlan 200

DLS2(config-if)#ip address 200.1.1.2 255.255.255.252

DLS2(config-if)#exit

ALS1(config)#vlan 100

ALS1(config-vlan)#exit

Задание 3

DLS1(config)#interface fastethernet 0/7

DLS1(config-if)#switchport mode access

DLS1(config-if)#switchport access vlan 100

DLS1(config-if)#exit

DLS1(config)#interface fastethernet0/11

DLS1(config-if)#switchport mode access

DLS1(config-if)#switchport access vlan 200

DLS1(config-if)#exit

DLS2(config)#interface fastethernet0/11

DLS2(config-if)#switchport mode access

DLS2(config-if)#switchport access vlan 200

DLS2(config-if)#exit

ALS1(config)#interface fastethernet 0/1

ALS1(config-if)#switchport mode access

ALS1(config-if)#switchport access vlan 100

ALS1(config-if)#exit

ALS1(config)#interface fastethernet 0/7

ALS1(config-if)#switchport mode access

ALS1(config-if)#switchport access vlan 100

ALS1(config-if)#exit

Наконец, проверьте свою конфигурацию, выполнив эхо-запрос между коммутаторами DLS1 и DLS2:

DLS1#ping 200.1.1.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 200.1.1.2, timeout is 2 seconds:

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 1/3/4 ms

Задание 4

DLS2(config)#ip dhcp excluded-address 100.1.1.1 100.1.1.5

DLS2(config)#ip dhcp pool VLAN-100-POOL

DLS2(dhcp-config)#network 100.1.1.0 255.255.255.0

DLS2(dhcp-config)#default-router 100.1.1.1

DLS2(dhcp-config)#domain-name 101labs.net

DLS2(dhcp-config)#lease 0 8 0

DLS2(dhcp-config)#exit

Задание 5

Первая часть этого задания проста и выполняется следующим образом:

DLS1(config)#interface vlan 100

DLS1(config-if)#ip helper-address 200.1.1.2

DLS1(config-if)#exit

Чтобы выполнить вторую часть вопроса, вам необходимо убедиться, что коммутатор DLS2 имеет IP-доступность для подсети 100.1.1.0/24. Используйте статические маршруты или динамические протоколы. В этом примере на коммутаторе настроен простой маршрут по умолчанию, указывающий на коммутатор DLS1.

DLS2:

DLS2(config)#ip routing

DLS2(config)#ip route 0.0.0.0 0.0.0.0 vlan 200 200.1.1.1

Кроме того, вам необходимо включить IP-маршрутизацию на коммутаторе DLS1 (если он не включен по умолчанию)

DLS1(config)#ip routing

После этого проверьте подключение с помощью простого пинга:

DLS2#ping 100.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 100.1.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms

Задание 6

Это задание требует небольшого размышления. DHCP Snooping требуется в VLAN 100 и 200. Порт, подключенный к коммутатору DLS2, должен быть доверенным, поскольку он подключен к серверу DHCP. Все остальные порты следует считать ненадежными. На коммутаторе DLS1 эта задача выполняется следующим образом:

DLS1(config)#ip dhcp snooping

DLS1(config)#ip dhcp snooping vlan 100

DLS1(config)#ip dhcp snooping vlan 200

DLS1(config)#interface fastethernet 0/11

DLS1(config-if)#ip dhcp snooping trust

Проверьте конфигурацию DHCP Snooping с помощью команд show ip dhcp snooping:

DLS1#show ip dhcp snooping

Switch DHCP snooping is enabled

DHCP snooping is configured on following VLANs:

100,200

DHCP snooping is operational on following VLANs:

100,200

DHCP snooping is configured on the following L3 Interfaces:

Insertion of option 82 is enabled

circuit-id format: vlan-mod-port

remote-id format: MAC

Option 82 on untrusted port is not allowed

Verification of hwaddr field is enabled

Verification of giaddr field is enabled

DHCP snooping trust/rate is configured on the following Interfaces:

Interface Trusted Rate limit (pps)

———————— ——- —————-

FastEthernet0/11 yes unlimited

Вторая часть этой задачи — включить IP Source Guard. IOS IP Source Guard — это функция, которая ограничивает IP-трафик на ненадежных портах уровня 2 путем фильтрации трафика на основе базы данных DHCP snooping binding или вручную настроенных привязок IP-источника.

Эта функция используется для предотвращения атак с подменой IP-адресов. Любой трафик, поступающий в интерфейс с исходным IP-адресом, отличным от назначенного через DHCP или статическую конфигурацию, будет отфильтрован на ненадежных портах уровня 2. Эта задача выполняется следующим образом:

DLS1(config)#interface fastethernet 0/7

DLS1(config-if)#ip verify source

DLS1(config-if)#exit

Задание 7

Это задание требует, чтобы маршрутизатор был настроен как DHCP-клиент. Это реализуется следующим образом:

R1(config)#interface fastethernet 0/0

R1(config-if)#ip address dhcp

R1(config-if)#exit

R1(config)#

*Apr 10 01:33:28.183: %DHCP-6-ADDRESS_ASSIGN: Interface FastEthernet0/0

assigned DHCP address 100.1.1.6, mask 255.255.255.0, hostname R1

После успешного назначения DHCP проверьте конфигурацию DHCP Snooping с помощью команд show ip dhcp snooping на коммутаторе DLS1:

DLS1#show ip dhcp snooping binding

MacAddress IpAddress Lease(sec) Type VLAN Interface

—————— ————— ———- ————- —- ———————

00:0F:23:5E:EC:80 100.1.1.6 28602 dhcp-snooping 100 FastEthernet0/7

Total number of bindings: 1

Finally, verify IP Source Guard using the show ip source binding commands on switch

DLS1:

DLS1#show ip source binding dhcp-snooping

MacAddress IpAddress Lease(sec) Type VLAN Interface

—————— ————— ———- ————- —- ———————

00:0F:23:5E:EC:80 100.1.1.6 28421 dhcp-snooping 100 FastEthernet0/7

Total number of bindings: 1

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *