思科DHCPsnooping配置
开启Cisco交换机DHCP Snooping功能
时间:2009-04-02 15:36 来源:未知作者:海海点击: 2901次
一、采用DHCP服务的常见问题
架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了
网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题,常见的有:
●DHCP Server的冒充
●DHCP Server的DOS攻击,如DHCP耗竭攻击
●某些用户随便指定IP地址,造成IP地址冲突
1、DHCP Server的冒充
由于DHCP服务器和客户端之间没有认证机制,所以如果在网络上随意添加一台DHCP 服务器,它就可以为客户端分配IP地址以及其他网络参数。只要让该DHCP服务器分配错误的IP地址和其他网络参数,那就会对网络造成非常大的危害。
2、DHCP Server的拒绝服务攻击
通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR(也就是Client MAC address)字段来判断客户端的MAC地址。正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。攻击者可以利用伪造MAC的方式发送DHCP请求,但这种攻击可以使用Cisco 交换机的端口安全特性来防止。端口安全特性(Port Security)可以限制每个端口只使用唯一的MAC地址。但是如果攻击者不修改DHCP请求报文的源MAC地址,而是修改DHCP报文中的CHADDR字段来实施攻击,那端口安全就不起作用了。由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端,所以攻击者可以通过大量发送伪造CHADDR的DHCP请求,导致DHCP服务器上的地址池被耗尽,从而无法为其他正常用户提供网络地址,这是一种DHCP耗竭攻击。DHCP耗竭攻击可以是纯粹的DOS攻击,也可以与伪造的DHCP服务器配合使用。当正常的DHCP服务器瘫痪时,攻击者就可以建立伪造的DHCP 服务器来为局域网中的客户端提供地址,使它们将信息转发给准备截取的恶意计算机。甚至即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的,但由于DHCP请求报文是广播报文,如果大量发送的话也会耗尽网络带宽,形成另一种拒绝服务攻击。
3、客户端随意指定IP地址
客户端并非一定要使用DHCP服务,它可以通过静态指定的方式来设置IP地址。如果随便指定的话,将会大大提高网络IP地址冲突的可能性。
二、DHCP Snooping技术介绍
DHCP监听(DHCP Snooping)是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性,交换机能够拦截第二层VLAN域内的所有DHCP报文。
DHCP监听将交换机端口划分为两类:
●非信任端口:通常为连接终端设备的端口,如PC,网络打印机等
●信任端口:连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口
通过开启DHCP监听特性,交换机限制用户端口(非信任端口)只能够发送DHCP请求,丢弃来自用户端口的所有其它DHCP报文,例如DHCP Offer报文等。而且,并非所有来自用户端口的DHCP请求都被允许通过,交换机还会比较DHCP 请求报文的(报文头里的)源MAC 地址和(报文内容里的)DHCP客户机的硬件地址(即CHADDR字段),只有这两者相同的请求报文才会被转发,否则将被丢弃。这样就防止了DHCP耗竭攻击。信任端口可以接收所有的DHCP报文。通过只将交换机连接到合法DHCP服务器的端口设置为信任端口,其他端口设置为非信任端口,就可以防止用户伪造DHCP服务器来攻击网络。DHCP监听特性还可以对端口的DHCP报文进行限速。通过在每个非信任端口下进行限速,将可以阻止合法DHCP请求报文的广播攻击。DHCP监听还有一个非常重要的作用就是建立一张DHCP监听绑定表(DHCP Snooping Binding)。一旦一个连接在非信任端口的客户端获得一个合法的DHCP Offer,交换机就会自动在DHCP监听绑定表里添加一个绑定条目,内容包括了该非信任端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信息。如:
Switch#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ----
----------------
00:0F:1F:C5:10:08 192.168.10.131 682463 dhcp-snooping 10 FastEthernet0/1
这张DHCP监听绑定表为进一步部署IP源防护(IPSG)和动态ARP检测(DAI)提供了依据。说明:
I. 非信任端口只允许客户端的DHCP请求报文通过,这里只是相对于DHCP报文来说的。其他非DHCP报文还是可以正常转发的。这就表示客户端可以以静态指定IP地址的方式通过非信任端口接入网络。由于静态客户端不会发送DHCP报文,所以DHCP监听绑定表里也不会有该静态客户端的记录。信任端口的客户端信息不会被记录到DHCP监听绑定表里。如果有一客户端连接到了一个信任端口,即使它是通过正常的DHCP方式获得IP地址,DHCP 监听绑定表里也不有该客户端的记录。如果要求客户端只能以动态获得IP的方式接入网络,则必须借助于IPSG和DAI技术。
II.交换机为了获得高速转发,通常只检查报文的二层帧头,获得目标MAC地址后直接转发,不会去检查报文的内容。而DHCP监听本质上就是开启交换机对DHCP报文的内容部
分的检查,DHCP报文不再只是被检查帧头了。
III. DHCP监听绑定表不仅用于防御DHCP攻击,还为后续的IPSG和DAI技术提供动态数据库支持。
IV. DHCP监听绑定表里的Lease列就是每个客户端对应的DHCP租约时间。当客户端离开网络后,该条目并不会立即消失。当客户端再次接入网络,重新发起DHCP请求以后,相应的条目内容就会被更新。如上面的00F.1FC5.1008这个客户端原本插在Fa0/1端口,现在插在Fa0/3端口,相应的记录在它再次发送DHCP请求并获得地址后会更新为:
Switch#show ip dhcp snooping binding
or
Switch#show ip source binding
MacAddress IpAddress Lease(sec) Type VLAN
Interface
------------------ --------------- ---------- ------------- ---- ----------------
00:0F:1F:C5:10:08 192.168.10.131 691023 dhcp-snooping 10 FastEthernet0/3
V.当交换机收到一个DHCPDECLINE或DHCPRELEASE广播报文,并且报文头的源MAC地址存在于DHCP监听绑定表的一个条目中。但是报文的实际接收端口与绑定表条目中的端口字段不一致时,该报文将被丢弃。
●DHCPRELEASE报文:此报文是客户端主动释放IP 地址(如Windows 客户端使用ipconfig/release),当DHCP服务器收到此报文后就可以收回IP地址,分配给其他的客户端了
●DHCPDECLINE报文:当客户端发现DHCP服务器分配给它的IP地址无法使用(如IP地址发生冲突)时,将发出此报文让DHCP服务器禁止使用这次分配的IP地址。
VI. DHCP监听绑定表中的条目可以手工添加。
VII. DHCP监听绑定表在设备重启后会丢失,需要重新绑定,但可以通过设置将绑定表保存在flash或者tftp/ftp服务器上,待设备重启后直接读取,而不需要客户端再次进行绑定
VIII. 当前主流的Cisco交换机基本都支持DHCP Snooping功能。
三、DHCP Option 82
当DHCP服务器和客户端不在同一个子网内时,客户端要想从DHCP服务器上分配到IP
地址,就必须由DHCP中继代理(DHCP Relay Agent)来转发DHCP请求包。DHCP中继代理将客户端的DHCP报文转发到DHCP服务器之前,可以插入一些选项信息,以便DHCP服务器能更精确的得知客户端的信息,从而能更灵活的按相应的策略分配IP地址和其他参数。这个选项被称为:DHCP relay agent information option(中继代理信息选项),选项号为82,故又称为option 82,相关标准文档为RFC3046。Option 82是对DHCP选项的扩展应用。选项82只是一种应用扩展,是否携带选项82并不会影响DHCP原有的应用。另外还要看DHCP服务器是否支持选项82。不支持选项82的DHCP服务器接收到插入了选项82的报文,或者支持选项82的DHCP服务器接收到了没有插入选项82的报文,这两种情况都不会对原有的基本的DHCP服务造成影响。要想支持选项82带来的扩展应用,则DHCP服务器本身必须支持选项82以及收到的DHCP报文必须被插入选项82信息。从非信任端口收到DHCP请求报文,不管DHCP服务器和客户端是否处于同一子网,开启了DHCP监听功能的Cisco交换机都可以选择是否对其插入选项82信息。默认情况下,交换机将对从非信任端口接收到的DHCP请求报文插入选项82信息。
当一台开启DHCP监听的汇聚交换机和一台插入了选项82信息的边界交换机(接入交换机)相连时:
●如果边界交换机是连接到汇聚交换机的信任端口,那么汇聚交换机会接收从信任端口收到的插入选项82的DHCP报文信息,但是汇聚交换机不会为这些信息建立DHCP监听绑定表条目。
●如果边界交换机是连接到汇聚交换机的非信任端口,那么汇聚交换机会丢弃从该非信任端口收到的插入了选项82的DHCP报文信息。但在IOS 12.2(25)SE版本之后,汇聚交换机可以通过在全局模式下配置一条ip dhcp snooping information allow-untrusted命令。这样汇聚交换机就会接收从边界交换机发来的插入选项82的DHCP报文信息,并且也为这些信息建立DHCP监听绑定表条目。
在配置汇聚交换机下联口时,将根据从边界交换机发送过来的数据能否被信任而设置为信任或者非信任端口。
四、DHCP Snooping的配置
Switch(config)#ip dhcp snooping //打开DHCP Snooping功能
Switch(config)#ip dhcp snooping vlan 10 //设置DHCP Snooping功能将作用于哪些VLAN
Switch(config)#ip dhcp snooping verify mac-address //检测非信任端口收到的DHCP 请求报文的源MAC和CHADDR字段是否相同,以防止DHCP耗竭攻击,该功能默认即为开启
Switch(config-if)#ip dhcp snooping trust //配置接口为DHCP监听特性的信任接口,所有接口默认为非信任接口
Switch(config-if)#ip dhcp snooping limit rate 15 //限制非信任端口的DHCP报文速率为每秒15个包(默认即为每秒15个包)如果不配该语句,则show ip dhcp snooping的
结果里将不列出没有该语句的端口,可选速率范围为1-2048
建议:在配置了端口的DHCP报文限速之后,最好配置以下两条命令
Switch(config)#errdisable recovery cause dhcp-rate-limit //使由于DHCP报文限速原因而被禁用的端口能自动从err-disable状态恢复
Switch(config)#errdisable recovery interval 30 //设置恢复时间;端口被置为
err-disable状态后,经过30秒时间才能恢复
Switch(config)#ip dhcp snooping information option //设置交换机是否为非信任端口收到的DHCP报文插入Option 82,默认即为开启状态
Switch(config)#ip dhcp snooping information option allow-untrusted //设置汇聚交换机将接收从非信任端口收到的接入交换机发来的带有选项82的DHCP报文
Switch#ip dhcp snooping binding 000f.1fc5.1008 vlan 10 192.168.10.131 interface fa0/2 expiry 692000 //特权模式命令;手工添加一条DHCP监听绑定条目;expiry为时间值,即为监听绑定表中的lease(租期)
Switch(config)#ip dhcp snooping database flash:dhcp_snooping.db //将DHCP监听绑定表保存在flash中,文件名为dhcp_snooping.db
Switch(config)#ip dhcp snooping database
tftp://192.168.2.5/Switch/dhcp_snooping.db //将DHCP监听绑定表保存到tftp服务器;192.168.2.5为tftp服务器地址,必须事先确定可达。URL中的Switch是tftp服务器下一个文件夹;保存后的文件名为dhcp_snooping.db,当更改保存位置后会立即执行“写”操作。
Switch(config)#ip dhcp snooping database write-delay 30 //指DHCP监听绑定表发生更新后,等待30秒,再写入文件,默认为300秒;可选范围为15-86400秒
Switch(config)#ip dhcp snooping database timeout 60 //指DHCP监听绑定表尝试写入操作失败后,重新尝试写入操作,直到60秒后停止尝试。默认为300秒;可选范围为
0-86400秒
说明:实际上当DHCP监听绑定表发生改变时会先等待write-delay的时间,然后执行写入操作,如果写入操作失败(比如tftp服务器不可达),接着就等待timeout的时间,在此时间段内不断重试。在timeout时间过后,停止写入尝试。但由于监听绑定表已经发生了改变,因此重新开始等待write-delay时间执行写入操作……不断循环,直到写入操作成功。
Switch#renew ip dhcp snooping database flash:dhcp_snooping.db //特权级命令;立即从保存好的数据库文件中读取DHCP监听绑定表。
五、显示DHCP Snooping的状态
Switch#show ip dhcp snooping //显示当前DHCP监听的各选项和各端口的配置情况
Switch#show ip dhcp snooping binding //显示当前的DHCP监听绑定表
Switch#show ip dhcp snooping database //显示DHCP监听绑定数据库的相关信息
Switch#show ip dhcp snooping statistics //显示DHCP监听的工作统计
Switch#clear ip dhcp snooping binding //清除DHCP监听绑定表;注意:本命令无法对单一条目进行清除,只能清除所有条目
Switch#clear ip dhcp snooping database statistics //清空DHCP监听绑定数据库的计数器
Switch#clear ip dhcp snooping statistics //清空DHCP监听的工作统计计数器
六、DHCP Snooping的实例
1、单交换机(DHCP服务器和DHCP客户端位于同一VLAN)
环境:Windows2003 DHCP服务器和客户端都位于vlan 10;服务器接在fa0/1,客户端接在fa0/2
2960交换机相关配置:
ip dhcp snooping vlan 10
ip dhcp snooping
!
interface FastEthernet0/1
description : Connect to Win2003 DHCP Server
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping trust
!
interface FastEthernet0/2
description : Connect to DHCP Client
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15
说明:
●本例中交换机对于客户端的DHCP 请求报文将插入选项82 信息;也可以通过配置no ip dhcp snooping information option命令选择不插入选项82信息。两种情况都可以。
●客户端端口推荐配置spanning-tree portfast命令,使得该端口不参与生成数计算,节省端口启动时间,防止可能因为端口启动时间过长导致客户端得不到IP地址。
●开启DHCP监听特性的vlan并不需要该vlan的三层接口被创建。
2、单交换机(DHCP服务器和DHCP客户端位于同一VLAN)
环境:Cisco IOS DHCP服务器(2821路由器)和PC客户端都位于vlan 10;路由器接在交
换机的fa0/1,客户端接在fa0/2
2960交换机相关配置:
ip dhcp snooping vlan 10
ip dhcp snooping
!
interface FastEthernet0/1
description : Connect to IOS DHCP Server C2821_Gi0/0 switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping trust
!
interface FastEthernet0/2
description : Connect to DHCP Client
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15
2821路由器相关配置:
ip dhcp excluded-address 192.168.10.1 192.168.10.2
!
ip dhcp pool test
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
lease 8
!
interface GigabitEthernet0/0
description : Connect to C2960_Fa0/1
ip dhcp relay information trusted
ip address 192.168.10.2 255.255.255.0
说明:
I、需要注意的是路由器连接到交换机的端口需要配置ip dhcp relay information trusted,否则客户端将无法得到IP地址。
这是因为交换机配置了(默认情况)ip dhcp snooping information option,此时交换机会在客户端发出的DHCP请求报文中插入选项82信息。另一方面由于DHCP服务器(这里指Cisco IOS DHCP服务器)与客户端处于同一个VLAN中,所以请求实际上并没有经过DHCP中继代理。
对于Cisco IOS DHCP服务器来说,如果它收到的DHCP请求被插入了选项82信息,那么它会认为这是一个从DHCP中继代理过来的请求报文,但是它检查了该报文的giaddr字段却发现是0.0.0.0,而不是一个有效的IP地址(DHCP请求报文中的giaddr字段是该报文经过的第一个DHCP中继代理的IP地址,具体请参考DHCP报文格式),因此该报文被认为“非法”,所以将被丢弃。可以参考路由器上的DHCP的debug过程。
Cisco IOS里有一个命令,专门用来处理这类DHCP请求报文:ip dhcp relay information trusted(接口命令)或者ip dhcp relay information trust-all(全局命令,对所有路由器接口都有效);这两条命令的作用就是允许被插入了选项82信息,但其giaddr字段为0.0.0.0的DHCP请求报文通过。
II、如果交换机不插入选项82信息,即配置了no ip dhcp relay information trusted,那么就不会出现客户端无法得到IP地址的情况,路由器也不需要配置ip dhcp relay information trusted命令。
III、Windows DHCP服务器应该没有检查这类DHCP请求的机制,所以上一个实例中不论交换机是否插入选项82信息,客户端总是可以得到IP地址。
3、单交换机(DHCP服务器和DHCP客户端位于不同VLAN)
环境:Cisco IOS DHCP服务器(2821路由器)的IP地址为192.168.2.2,位于vlan 2;DHCP 客户端位于vlan 10;交换机为3560,路由器接在fa0/1,客户端接在fa0/2
3560交换机相关配置:
ip routing
!
ip dhcp snooping vlan 2,10
ip dhcp snooping
!
interface FastEthernet0/1
description : Connect to IOS DHCP Server C2821_Gi0/0
switchport access vlan 2
switchport mode access
spanning-tree portfast
ip dhcp snooping trust
!
interface FastEthernet0/2
description : Connect to DHCP Client
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15
!
interface Vlan2
ip address 192.168.2.1 255.255.255.0
!
interface Vlan10
ip address 192.168.10.1 255.255.255.0
ip helper-address 192.168.2.2
2821路由器相关配置:
no ip routing
!
ip dhcp excluded-address 192.168.10.1 192.168.10.2 !
ip dhcp pool test
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
lease 8
!
interface GigabitEthernet0/0
description : Connect to C3560_Fa0/1
ip address 192.168.2.2 255.255.255.0
!
ip default-gateway 192.168.2.1
说明:
本例中的路由器不需要配置ip dhcp relay information trusted命令,因为从交换机过来的DHCP请求经过了中继代理,其报文中的giaddr字段为192.168.10.1,而不是0.0.0.0,是默认正常的DHCP请求报文。
4、多交换机环境(DHCP服务器和DHCP客户端位于不同VLAN)
环境:2611路由器作为DHCP服务器,IP地址为192.168.2.2,位于vlan 2;PC位于vlan 10;
路由器接在3560的Gi0/2,PC接2960的fa0/1口,两交换机互连口都是gi0/1
3560交换机相关配置:
ip routing
!
interface GigabitEthernet0/1
description : Connect to C2960_Gi0/1
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface GigabitEthernet0/2
description : Connect to IOS DHCP Server C2611_Gi0/0
switchport access vlan 2
switchport mode access
spanning-tree portfast
!
interface Vlan2
ip address 192.168.2.1 255.255.255.0 !
interface Vlan10
ip address 192.168.10.1 255.255.255.0 ip helper-address 192.168.2.2
ip dhcp relay information trusted 2960交换机相关配置:
ip dhcp snooping vlan 10
ip dhcp snooping
interface FastEthernet0/1
description : Connect to PC switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15
!
interface GigabitEthernet0/1 description : Connect to C3560_Gi0/1 switchport mode trunk
ip dhcp snooping trust
2611路由器相关配置:
no ip routing
!
ip dhcp excluded-address 192.168.10.1 192.168.10.2
!
ip dhcp pool test
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
lease 8
!
interface GigabitEthernet0/0
description : Connect to C3560_Gi0/2
ip address 192.168.2.2 255.255.255.0
!
ip default-gateway 192.168.2.1
说明:
本例中3560没有开启DHCP监听功能,2960开启了该功能。需要注意的是int vlan 10需要配置ip dhcp relay information trusted,理由如同实例2。
5、多交换机环境(DHCP服务器和DHCP客户端位于同一VLAN)
环境:3560交换机自身作为DHCP服务器;PC1和PC2都位于vlan 10;PC1接3560的fa0/1口,PC2接2960的fa0/1口;两交换机互连口都是gi0/1
3560交换机相关配置:
ip dhcp excluded-address 192.168.10.1
!
ip dhcp pool test
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
lease 8
!
ip dhcp snooping vlan 10
ip dhcp snooping information option allow-untrusted
ip dhcp snooping
!
interface FastEthernet0/1
description : Connect to PC1
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15
!
interface GigabitEthernet0/1
description : Connect to C2960_Gi0/1
switchport trunk encapsulation dot1q
switchport mode trunk
ip dhcp snooping limit rate 360
2960交换机相关配置:
ip dhcp snooping vlan 10
ip dhcp snooping
interface FastEthernet0/1
description : Connect to PC2 switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15
!
interface GigabitEthernet0/1
description : Connect to C3560_Gi0/1
switchport mode trunk
ip dhcp snooping trust
说明:
本例中3560和2960同时开启了DHCP监听功能。从2960过来的DHCP请求报文是已经被插入了选项82信息,如果将3560的Gi0/1设置为信任端口,那么插入了82选项的DHCP 请求报文是允许通过的,但不会为其建立DHCP监听绑定表。即3560上只有PC1的绑定条目,而没有PC2的绑定条目。
如果此时同时部署DAI,IPSG,由于2960不支持这两项功能,对于3560来说,从2960上过来的数据可能存在IP欺骗和ARP欺骗等攻击,是不安全的。另一方面,由于3560没有PC2的绑定条目,而DAI和IPSG必须依赖DHCP监听绑定表。因此如果需要在3560上再部署DAI或者IPSG,就不能将3560的Gi0/1设置为信任端口。
但是将3560的Gi0/1口设置为非信任端口以后,默认情况下,非信任端口将会丢弃收到的插入了82选项的DHCP请求报文。而从2960过来的DHCP请求报文又正好是被插入了选项82信息的。因此必须配置ip dhcp snooping information option allow-untrusted命令,否则3560将丢弃这些DHCP请求报文,接在2960上的PC2将得不到IP地址。只有配置了该命令以后,3560才会接收从2960发送的插入了选项82的DHCP报文,并为这些信息建立绑定条目。
3560下联的Gi0/1口由于是非信任端口,默认限速为每秒15个DHCP请求报文,如果2960上的所有PC都同时发起DHCP请求,可能此端口会被errdisable掉。这里假设2960
为24口,因此简单的设置限速为24*15=360。
2960上联的Gi0/1口必须被配置为信任端口,否则将丢弃从3560过来的DHCP应答报文,PC2将无法得到IP地址。
C3560#show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
10
DHCP snooping is operational on following VLANs:
10
DHCP snooping is configured on the following L3 Interfaces:
Insertion of option 82 is enabled
circuit-id format: vlan-mod-port
remote-id format: MAC
Option 82 on untrusted port is allowed
Verification of hwaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
FastEthernet0/1 no 15
GigabitEthernet0/1 no 360
C3560#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN
Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:0F:1F:C5:10:08 192.168.10.2 685618 dhcp-snooping 10 FastEthernet0/1
00:0B:DB:08:21:E0 192.168.10.3 688023 dhcp-snooping 10 GigabitEthernet0/1
C2960#show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
10
Insertion of option 82 is enabled
circuit-id format: vlan-mod-port
remote-id format: MAC
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
FastEthernet0/1 no 15
GigabitEthernet0/1 yes unlimited
C2960#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN I nterface
------------------ --------------- ---------- -------------
---- --------------------
00:0B:DB:08:21:E0 192.168.10.3 688023 dhcp-snooping 10
FastEthernet0/1
6、多交换机环境(DHCP服务器和DHCP客户端位于同一VLAN)
环境:4503交换机自身作为DHCP服务器;PC1和PC2都位于vlan 10;PC1接4503的gi2/1口,PC2接3560的fa0/1口;两交换机互连口是4503 gi1/1 -- 3560 gi0/1
4503交换机相关配置:
ip dhcp excluded-address 192.168.10.1
!
ip dhcp pool test
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
lease 8
!
ip dhcp snooping vlan 10
ip dhcp snooping
!
interface GigabitEthernet2/1
description : Connect to PC1
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15
!
interface GigabitEthernet1/1
description : Connect to C3560_Gi0/1 switchport trunk encapsulation dot1q switchport mode trunk
ip dhcp snooping trust
3560交换机相关配置:
ip dhcp snooping vlan 10
ip dhcp snooping
interface FastEthernet0/1
description : Connect to PC2
switchport access vlan 10
Cisco路由器静态路由配置实例
Cisco路由器静态路由配置实例 初学路由器的配置,下面就用Boson NetSim for CCNP 6.1模拟软件进行配置…这篇文章主要是对路由表进行静态路由配置… 拓扑结构图如下: 下面开始: 1.对Router1进行配置,配置命令如下: Router>enable进入特权模式 Router#configure terminal 进入配置模式 Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface ethernet0 进入E0端口模式
Router(config-if)#ip address 192.168.1.1 255.255.255.0 配置IP地址Router(config-if)#no shutdown 激活该端口 %LINK-3-UPDOWN: Interface Ethernet0, changed state to up Router(config-if)#exit 返回上一级 Router(config)#interface serial0 进入S0 端口模式 Router(config-if)#ip address 192.168.2.1 255.255.255.0 Router(config-if)#no shutdown %LINK-3-UPDOWN: Interface Serial0, changed state to up %LINK-3-UPDOWN: Interface Serial0, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed state to down Router(config-if)#clock rate 6400 注意这里是设置时钟..如有不明白,可以打”?”.但是系统给的参数是 64000 .而我们要配置成 6400 ..可能是模拟软件的一个小BUG 吧!现在是在模拟软件中,如果是真实环境,我们要参照说 明书..按照说明书来配置参数…. Router(config-if)#exit Router(config)#ip route 192.168.3.0 255.255.255.0 192.168.2.2 配置路由表
静态路由设置实例解析
静态路由设置实例解析 随着宽带接入的普及,很多家庭和小企业都组建了局域网来共享宽带接入。而且随着局域 网规模的扩大,很多地方都涉及到2台或以上路由器的应用。当一个局域网内存在2台以 上的路由器时,由于其下主机互访的需求,往往需要设置路由。由于网络规模较小且不经 常变动,所以静态路由是最合适的选择。 本文作为一篇初级入门类文章,会以几个简单实例讲解静态路由,并在最后讲解一点 关于路由汇总(归纳)的知识。由于这类家庭和小型办公局域网所采用的一般都是中低档 宽带路由器,所以这篇文章就以最简单的宽带路由器为例。(其实无论在什么档次的路由 器上,除了配置方式和命令不同,其配置静态路由的原理是不会有差别的。)常见的 1WAN口、4LAN口宽带路由器可以看作是一个最简单的双以太口路由器+一个4口小交换机,其WAN口接外网,LAN口接内网以做区分。 路由就是把信息从源传输到目的地的行为。形象一点来说,信息包好比是一个要去某 地点的人,路由就是这个人选择路径的过程。而路由表就像一张地图,标记着各种路线, 信息包就依靠路由表中的路线指引来到达目的地,路由条目就好像是路标。在大多数宽带 路由器中,未配置静态路由的情况下,内部就存在一条默认路由,这条路由将LAN口下所 有目的地不在自己局域网之内的信息包转发到WAN口的网关去。宽带路由器只需要进行 简单的WAN口参数的配置,内网的主机就能访问外网,就是这条路由在起作用。本文将 分两个部分,第一部分讲解静态路由的设置应用,第二部分讲解关于路由归纳的方法和作用。 下面就以地瓜这个网络初学者遇到的几个典型应用为例,让高手大虾来说明一下什么 情况需要设置静态路由,静态路由条目的组成,以及静态路由的具体作用。 例一:最简单的串连式双路由器型环境 这种情况多出现于中小企业在原有的路由器共享Internet的网络中,由于扩展的需要,再接入一台路由器以连接另一个新加入的网段。而家庭中也很可能出现这种情况,如用一 台宽带路由器共享宽带后,又加入了一台无线路由器满足无线客户端的接入。 地瓜:公司里原有一个局域网LAN 1,靠一台路由器共享Internet,现在又在其中添加 了一台路由器,下挂另一个网段LAN 2的主机。经过简单设置后,发现所有主机共享Internet没有问题,但是LAN 1的主机无法与LAN 2的主机通信,而LAN 2的主机却能Ping通LAN 1下的主机。这是怎么回事? 大虾:这是因为路由器隔绝广播,划分了广播域,此时LAN 1和LAN 2的主机位于两 个不同的网段中,中间被新加入的路由器隔离了。所以此时LAN 1下的主机不能“看”到LAN 1里的主机,只能将信息包先发送到默认网关,而此时的网关没有设置到LAN 2的路
实验项目十二 配置DHCP中继代理
实验项目十二配置DHCP中继代理 一、实验目的 理解DHCP中继代理服务;通过配置DHCP中继代理实现DHCP服务为多个网段提供动态分配IP地址。 二、实验设备 交换机(Switch_2950-24)3台;路由器(Router-1841)2台;计算机(PC)4台;服务器3台;直连线;DCE串口线 三、实验原理 在大型的网络中,可能会存在多个子网。DHCP客户机通过网络广播消息获得DHCP服务器的响应后得到IP地址。但广播消息是不能跨越子网的。因此,如果DHCP客户机和服务器在不同的子网内,客户机要向服务器申请IP地址,这就要用到DHCP中继代理。DHCP 中继代理实际上是一种软件技术,安装了DHCP中继代理的计算机称为DHCP中继代理服务器,它承担不同子网间的DHCP客户机和服务器的通信任务。 四、实验步骤 我们使用两个DHCP服务器,分别创建DHCP地址池:192.168.3.0/24:192.168.1.2和192.168.4.0/24:192.168.1.4.配置一个DNS服务器192.168.1.3. 1.新建Packet Tracer拓扑图 2. 对三个服务器进行基本设置 DHCP-192.168.3.0:IP:192.168.1.4 Submask: 255.255.255.0 Gateway:192.168.1.1 DHCP-192.168.4.0:IP:192.168.1.2 Submask: 255.255.255.0 Gateway:192.168.1.1 DNS:IP:192.168.1.3 Submask: 255.255.255.0 Gateway:192.168.1.1 3.对路由器设置 R0: Router#configure terminal Router(config)#interface FastEthernet0/0 /为FA0/0 口配置IP 地址 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface Serial0/0/0 / 为S 0/0/0 口配置IP 地址 Router(config-if)#ip address 192.168.2.1 255.255.255.0 Router(config-if)#clock rate 64000 / 为S 1/0 口配置串行链路时钟 Router(config-if)#no shutdown
cisco静态路由配置1
cisco静态路由配置1 命令:ip router <目的网段> <目的网段掩码><下一跳> 其实这个下一跳的根本含义就是下一台路由器的入口。一般两台路由器之间相接,比如说A路由器和B路由器相接,信息首先通过的是A路由器,那么我们就在A路由器中设置静态路由的时候把这个下一跳的地址设置为B路由器的入口。这样说应该比较容易理解了。 以下我就通过一个例子来配置一下静态路由: 网络拓扑: 我们的目的是,要PC0 ping通PC1,基本思路是设定好所有设备的IP地址,然后再在路由器上配置静态路由。记得路由与路由之间设置时钟频率(两台路由器之间只设置一个时钟频率) 拓扑编址: PC0:192.168.1.1 gw:192.168.1.2 PC1:192.168.4.1 gw:192.168.4.2第一步:设置好PC机的IP地址。 第二步:配置三台路由器: Router0: Router 0 >en Router 0 #conf t Router 0 (config)#int f0/0
Router 0 (config-if)#ip address 192.168.1.2 255.255.255.0 Router 0 (config-if)#no shut Router 0 (config-if)#int s0/0/0 Router 0 (config-if)#ip address 192.168.2.1 255.255.255.0 Router 0 (config-if)#clock rate 64000设置时钟频率 Router 0 (config-if)#no shut Router 0 (config-if)#exit Router 0 (config)# Router1: Router>en Router#conf t Router(config)#hostname Router1把路由器的名字设置为Router1 Router1(config)#int s0/0/0 Router1(config-if)#ip address 192.168.2.2 255.255.255.0 Router1(config-if)#no shut
最新思科CISCO路由器配置步骤
前思科路由器已经成为路由行业的领军人物,可能好多人还不了解Cisco路由器配置的步骤,没有关系,看完本文你肯定有不少收获,希望本文能教会你更多东西,该单位公司总部在北京,全国有3个分支机构。 要求做到在4个地点的数据能够实时查询,便于业务员根据具体情况作出正确决策。早期方案是使用路由器,通过速率为256Kbps的DDN专网连接北京总部。但技术人员通过市场调研,发现该网络运营成本过高。通过进一步的咨询和调整,最终方案是分支机构使用DDN在本地接入Internet,总部使用以太网就近接入Internet。并对互联的Cisco路由器配置,使用VPN技术,保证内部数据通过Internet安全传输。该企业的网络分布见附图。 配置过程及测试步骤 在实施配置前,需要检查硬件和软件是否支持VPN。对于Cisco路由器配置,要求IOS 版本高于12.0.6(5)T,且带IPSec功能。本配置在Cisco路由器配置通过。以下是分支网络1的路由器实际配置过程,其他路由器的配置方法与此基本一致,只需修改具体的环境参数(IP 地址和接口名称)即可。 配置路由器的基本参数,并测试网络的连通性 (1) 进入Cisco路由器配置模式 将计算机串口与路由器console口连接,并按照路由器说明书配置“终端仿真”程序。执行下述命令进入配置模式。 Router>en Router#config terminal Router(config)# (2)配置路由器的基本安全参数 主要是设置特权口令、远程访问口令和路由器名称,方便远程调试。 Router(config)#enable secret xxxxxxx Router(config)#line vty 0 4 Router(config-line)#password xxxxxx Router(config-line)#exit Router(config)#hostname huadong
静态路由配置
二层交换机配置: Switch>en Switch#conf t 创建VLAN20 VLAN30; Switch(config)#vlan 20 Switch(config-vlan)#vlan 30 Switch(config-vlan)#exit 将相应的端口划进相应的VLAN; Switch(config)#int f0/10 Switch(config-if)#switchport access vlan 20 Switch(config-if)#int f0/20 Switch(config-if)#switchport access vlan 30 Switch(config-if)#exit 将与三层交换直接连接的端口配置成中继端口;Switch(config)#int range f0/23-24 Switch(config-if-range)#switchport mode trunk 三层交换机配置: Switch>en Switch#conf t 创建VLAN20 VLAN30; Switch(config)#vlan 20 Switch(config-vlan)#vlan 30 创建VLAN 1虚拟接口并配置IP地址; Switch(config-vlan)#int vlan 1 Switch(config-if)#ip address 10.1.1.2 255.255.255.0 Switch(config-if)#no shutdown
创建VLAN 20虚拟接口并配置IP地址; Switch(config-if)#int vlan 20 Switch(config-if)#ip address 192.168.20.1 255.255.255.0 Switch(config-if)#no shutdown 创建VLAN 30虚拟接口并配置IP地址; Switch(config-if)#int vlan 30 Switch(config-if)#ip address 192.168.30.1 255.255.255.0 Switch(config-if)#no shutdown Switch(config-if)#exit 配置VLAN 1 VLAN 20 VLAN 30的交换机优先级,默认为32768;Switch(config)#spanning-tree vlan 1 priority 8192 Switch(config)#spanning-tree vlan 20 priority 8192 Switch(config)#spanning-tree vlan 30 priority 8192 配置到两条非直连网段的静态路由 Switch(config)#ip route 172.16.1.0 255.255.255.0 10.1.1.1 Switch(config)#ip route 192.168.1.0 255.255.255.252 10.1.1.1 路由器1的配置: Router>en Router#conf t 配置F0/0端口地址并开启; Router(config)#int f0/0 Router(config-if)#ip address 10.1.1.1 255.255.255.0 Router(config-if)#no shutdown 配置S0/0/0端口地址并开启;注意是DCE端,要配置时钟频率;Router(config-if)#int s0/0/0 Router(config-if)#clock rate 19200 Router(config-if)#ip address 192.168.1.1 255.255.255.252
H3C IPv6 静态路由配置
操作手册 IP路由分册 IPv6 静态路由目录 目录 第1章 IPv6静态路由配置......................................................................................................1-1 1.1 IPv6静态路由简介.............................................................................................................1-1 1.1.1 IPv6静态路由属性及功能........................................................................................1-1 1.1.2 IPv6缺省路由..........................................................................................................1-1 1.2 配置IPv6静态路由.............................................................................................................1-2 1.2.1 配置准备..................................................................................................................1-2 1.2.2 配置IPv6静态路由...................................................................................................1-2 1.3 IPv6静态路由显示和维护..................................................................................................1-2 1.4 IPv6静态路由典型配置举例(路由应用).........................................................................1-3 1.5 IPv6静态路由典型配置举例(交换应用).........................................................................1-5
利用DHCP中继代理解决不同网段IP自动分配
利用DHCP中继代理解决不同网段IP自动分配 DHCP(Dynamic Host Configure Protocol)就是客户机通过广播向服务器请求获取ip地址、子网掩码、默认网关、DNS服务器地址等信息在租期内使用的一种技术。有这种技术后,一个网络管理员真省事多了!如果一个公司有200台机器,如果要管理员一台一台去配的话,可真要抓狂了,重复着无聊的活,太浪费时间了,万一有一台的信息配错的话,日后的排错工作就多了!所以说啊DHCP既可以减小管理员的工作量,又能减小错误输入的可能性,还能避免IP地址冲突和提高了IP地址的利用率!所以能有不用DHCP的理由么!呵呵! 但随着局域网的逐步扩大,一个网络通常要被划分多个不同的子网来实现不同子网的特殊管理要求,但vlan是分隔广播域的,那是不是必须在各个不同子网分别创建一台DHCP服务器来分别为每个子网提供服务呢?如果真是这样,不但操作复杂,而且不利于局域网的管理。那应该怎么办呢?其实可以利用DHCP中继代理功能就可以非常轻松的完美解决问题了。下面,笔者就以一台DHCP服务器同时为两个子网提供分配IP地址分配服务为例,详细介绍如果使用DHCP中继代理,协助不同子网的工作站完成跨子网获取IP地址的任务。 例子背景情况:某公司有两个部门,为了便于管理被划分在两个子网,就用路由器把两网段实现网段内通讯,而且用一个DHCP服务器为两个子网分配IP地址 实验拓扑:只要有双网卡的服务器加上启用‘路由和远程访问服务’服务就可以轻松充当路由器实现简单的路由转发功能了!如果一个管理员向老板提交购买路由器从而实现目的的方案,我想老板肯定不愉悦的,说不定老板还质疑你的能力了!所以啊!从经济学来说要尽量用现成的设备来实现目的啊!为了减轻笔记本的负担,所以用DHCP中继代理服务器充当路由器了,所以实验拓扑以下 两个服务器的ip信息: RAW(DHCP服务器)IP:192.168.11.10,网关:192.168.11.5(指向中继代理的ip地址) DHCP:两个作用域:192.168.11.150—192.168.11.200,192.168.12.150—192.168.12.200
联想网御Power V系列配置案例集11(静态、默认、策略、ISP路由配置案例)
11.1 静态路由配置 配置需求:访问目的网络2.2.2.0/24,下一跳为192.168.83.108。 (1)进入到【路由管理】-【基本路由】-【静态路由表】中,新建一条静态路由表。 (2)目的地址:需要访问的目标网络 掩码:目标网络的掩码 下一跳地址:防火墙流出网口的对端设备地址 Metric:优先级,metric值越小优先级越高 网络接口:防火墙的流出接口 (3)在进入到【状态监控】-【状态信息】-【网络测试】中选择【routeshow】,开始调试。 如果静态路由生效,如下图所示。
注意事项: (1)下一跳地址一定要输入正确,这个地址不是防火墙的出口地址。 (2)下一跳地址一定可达有效的地址,可以在【状态监控】-【状态信息】-【网络测试】测试下可达性。 11.2 默认路由配置 配置需求:经过防火墙的数据包全部转发给211.211.211.210. (1)进入到【路由管理】-【基本路由】-【默认路由】中,新建一条默认路由。 (2)默认网关:211.211.211.210; 权重值:多条默认路由时使用,权重越大负载分担时流经的数据包所占比重越高
(3)在进入到【状态监控】-【状态信息】-【网络测试】中选择【routeshow】,开始调试。 如果默认路由生效,如下图所示。 注意事项: (1) 配置多条默认路由时,一定勾选【启用基于状态回包功能】,权重值越大,分担的流量越多。 (2) 默认路由生效了,在【状态监控】-【状态信息】-【网络测速】中选择【ping】下网关地址,确保可达性。 11.3 策略路由配置
配置需求:内网192.168.1.0/24网段访问8.8.8.0/24通过eth0口路由出去。 (1)进入到【路由管理】-【基本路由】-【策略路由】中,新建一条高级路由表。 命名路由表名称和路由表ID 点击新建路由表后面的操作按钮,新建路由表内容
Cisco路由器的SSH配置详解
C i s c o路由器的S S H配 置详解 The document was finally revised on 2021
Cisco路由器的SSH配置详解 2008-06-18 13:04 如果你一直利用Telnet控制网络设备,你可以考虑采用其他更安全的方式。 本文告诉你如何用SSH替换Telnet. 使用Telnet这个用来访问远程计算机的TCP/IP协议以控制你的网络设备相当于在离开某个建筑时大喊你的用户名和口令。很快地,会有人进行监听,并且他们会利用你安全意识的缺乏。 SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令是加密的并以几种方式进行保密。 在使用SSH的时候,一个数字证书将认证客户端(你的工作站)和服务器(你的网络设备)之间的连接,并加密受保护的口令。SSH1使用RSA加密密钥,SSH2使用数字签名算法(DSA)密钥保护连接和认证。 加密算法包括Blowfish,数据加密标准(DES),以及三重DES (3DES)。SSH保护并且有助于防止欺骗,“中间人”攻击,以及数据包监听。 实施SSH的第一步是验证你的设备支持SSH.请登录你的路由器或交换机,并确定你是否加载了一个支持SSH的IPSec IOS镜像。 在我们的例子中,我们将使用Cisco IOS命令。运行下面的命令: 该命令显示已加载的IOS镜像名称。你可以用结果对比你的供应商的支持特性列表。 在你验证了你的设备支持SSH之后,请确保设备拥有一个主机名和配置正确的主机域,就像下面的一样: 在这个时候,你就可以启用路由器上的SSH服务器。要启用SSH服务器,你首先必须利用下面的命令产生一对RSA密钥:
DHCP中继(DHCP Relay)配置实例
DHCP中继(DHCP Relay)配置实例 配置实例 文章出处:https://www.wendangku.net/doc/2b4281066.html,整理 早期的DHCP协议只适用于DHCP客户端和服务器处于同一个网段内的情况,不能跨网段。因此,为进行动态主机配置,需要在每个网段置一个DHCP服务器,这显然是很不经济的。DHCP中继(DHCP Relay)功能的引入解决了这一难题:客户端可以通过DHCP 中继与其他网段的DHCP服务器通信,最终取得合法的IP地址。这样,多个网段的DHCP 客户端可以使用同一个DHCP服务器,既节省了成本,又便于进行集中管理。 一般来说,DHCP中继既可以是主机,也可以是路由器,只要在设备上启动DHCP中继代理的服务程序即可。 DHCP Relay工作原理如下: 1、当DHCP Client启动并进行DHCP初始化时,它会在本地网络广播配置请求报文。 2、如果本地网络存在DHCP Server,则可以直接进行DHCP配置,不需要DHCP Relay。 3、如果本地网络没有DHCP Server,则与本地网络相连的具有DHCP Relay功能的网络设备收到该广播报文后,将进行适当处理并转发给指定的其它网络上的DHCP Server。 4、DHCP Server根据DHCP Client提供的信息进行相应的配置,并通过DHCP Relay将配置信息发送给DHCP Client,完成对DHCP Client的动态配置。
事实上,从开始配置到最终完成配置,可能存在多次这样的交互过程。下面为大家介绍一个在华为路由器上实现DHCP中继的配置实例。 一、组网需求 如下图,DHCP客户端所在的网段为10.100.0.0/16,而DHCP服务器所在的网段为202.40.0.0/16。需要通过带DHCP中继功能的路由设备中继DHCP报文,使得DHCP客户端可以从DHCP服务器上申请到IP地址等相关配置信息。 DHCP服务器应当配置一个10.100.0.0/16网段的IP地址池,DNS服务器地址为 10.100.1.2/16,NetBIOS服务器地址10.100.1.3/16,出口网关地址10.100.1.4,并且DHCP服务器上应当配置有到10.100.0.0/16网段的路由。 二、配置思路 DHCP服务器的配置思路如下: 1、开启DHCP中继服务器RouterA的DHCP功能 2、配置要实现DHCP中继功能的接口POS2/0/0 3、在接口GE1/0/0配置IP中继地址并开启接口的DHCP中继功能 4、配置DHCP服务器RouterB到RouterA的接口GE1/0/0的路由 5、开启RouterB的DHCP功能 6、配置RouterB的接口POS1/0/0下的客户端从全局地址池中获取IP地址 7、在RouterB上配置全局地址池
实验6-路由器组网及静态路由配置(Cisco-Packet-Tracer)
实验6 路由器组网及静态路由配置(Cisco Packet Tracer)(设计性实验) 1.实验目的 1.掌握IP数据报转发的基本原理; 2.掌握静态路由表的配置方法; 3.进一步学习模拟软件“Cisco Packet Tracer ” 4.初步了解Cisco系列路由器的基本配置方法(在路由器用户命令状态、特权命令状 态、全局设置状态、局部设置状态等的参数配置方法); 5.根据实验要求,设计正确的解决方案。 2.实验设备与环境 1. 仿真软件Cisco Packet Tracer,或Cisco路由器若干台; 2. 台式计算机 3. 实验准备 1.路由器的配置方法 一般来说,可以用5种方式来设置路由器,其中包括Console 口接终端或运行终端仿真软件的微机;AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连;通过以太网上的TFTP服务器;通过以太网上的TELNET程序;通过以太网上的SNMP 网管工作站。第一次设置必须通过上述第一种方式进行。 2.Cisco IOS Cisco IOS即Cisco网间网操作系统软件,它满足了端到端网络连接要求,并提供了网络扩展性,模块化结构和移植性,以及多媒体,安全性,网络管理,拨号和Internet应用等许多内嵌功能内。Cisco IOS技术共有15000种特性,可以提供Internet智能,它可将各种不同的硬件连接起来,构筑成有效、无缝的基础设施,从而大大促进网络的增长和新应用的部署。 3.学习有关Cisco路由器的参数配置方法 a)命令状态 1)普通用户命令状态router> 路由器处于普通用户命令状态。这时用户可以看到路由器的连接状态,访问其它 网络和主机,但不能看到和更改路由器的设置内容。 2)超级用户命令状态router# 在router>提示符下键入enable路由器进入超级用户命令状态router#,这时不但
图解思科路由器配置教程
cisco路由器配置教程 手把手教你配置cisco路由器 经过几十年的发展,从最初的只有四个节点的ARPANET发展到现今无处不在的Internet,计算机网络已经深入到了我们生活当中。随着计算机网络规模的爆炸性增长,作为连接设备的路由器也变得更加重要。 公司在构建网络时,如何对路由器进行合理的配置管理成为网络管理者的重要任务之一。本专题就为读者从最简单的配置开始为大家介绍如何配置cisco路由器。 很多读者都对路由器的概念非常模糊,其实在很多文献中都提到,路由器就是一种具有多个网络接口的计算机。这种特殊的计算机内部也有CPU、内存、系统总线、输入输出接口等等和PC相似的硬件,只不过它所提供的功能与普通计算机不同而已。 和普通计算机一样,路由器也需要一个软件操作系统,在cisco 路由器中,这个操作系统叫做互联网络操作系统,这就是我们最常听到的IOS 软件了。下面就请读者跟着我们来一步步的学习最基本的路由器配置方法。 cisco路由器基本配置: √ cisco IOS软件简介: 大家其实没必要把路由器想的那么复杂,其实路由器就是一个具有多个端口的计算机,只不过它在网络中起到的作用与一般的PC不同而已。和普通计算机一样,路由器也需要一个操作系统,cisco把这个操作系统叫作cisco互联网络操作系统,也就是我们知道的IOS,所有cisco路由器的IOS都是一个嵌入式软件体系结构。
cisco IOS软件提供以下网络服务: 基本的路由和交换功能。 可靠和安全的访问网络资源。 可扩展的网络结构。 cisco命令行界面(CLI)用一个分等级的结构,这个结构需要在不同的模式下来完成特定的任务。例如配置一个路由器的接口,用户就必须进入到路由器的接口配置模式下,所有的配置都只会应用到这个接口上。每一个不同的配置模式都会有特定的命令提示符。EXEC为IOS软件提供一个命令解释服务,当每一个命令键入后EXEC便会执行该命令。 √第一次配置Cisco路由器: 在第一次配置cisco路由器的时候,我们需要从console端口来进行配置。以下,我们就为大家介绍如何连接到控制端口及设置虚拟终端程序。 1、使用rollover线和一个RJ45和DB9或者DB25的转换适配器连接路由器控制端口和终端计算机。
DHCP中继配置
DHCP中继配置举例 1. 组网需求 ?DHCP 客户端所在网段为10.10.1.0/24,DHCP 服务器Switch B 的IP 地址为10.1.1.1/24, Switch C 的IP 地址为10.2.1.1/24; ?由于DHCP 客户端和所有DHCP 服务器都不在同一网段,因此,需要在客户端所在网段设置 DHCP 中继设备,以便客户端可以从DHCP 服务器申请到10.10.1.0/24 网段的IP 地址及相关 配置信息; ?Switch A 作为DHCP 中继通过端口(属于VLAN1)连接到DHCP 客户端所在的网络,交换 机VLAN 接口1 的IP 地址为10.10.1.1/24。 2. 组网图 图3-3 DHCP 中继组网示意图 3. 配置步骤 # 配置各接口的IP 地址(略)。 # 使能DHCP 服务。
思科网络实验报告2静态路由的配置
集美大学 计算机工程学院 实验报告 实验名称基本静态路由配置 课程名称计算机网络 班级 日期— 成绩_________________ 一、实验目的 1、为接口分配适当的地址,并进行记录。 2、根据拓扑图进行网络布线。 3、清除启动配置并将路由器重新加载为默认状态。 4、在路由器上执行基本配置任务。 5、配置并激活串行接口和以太网接口。 6、确定适当的静态路由、总结路由和默认路由。 二、实验场景 对一个网络地址进行子网划分以便完成拓扑结构图所示的网络编址。连接到ISP路由器的LAN编址和HQ与ISP路由器之间的链路已经完成。但还需要配置静态路由以便非直连网络中的主机能够彼此通信。 实际拓扑图: 192.163.2. E伽
三、实验器材 (1 )直通以太网电缆 3 条 (2 )交叉以太网电缆 1 条 (3)PC机 3 台 (4)路由器 3 台 (5)交换器 2 台 四、实验内容 任务1 :对地址空间划分子网 步骤1 :研究网络要求。 在网络设计中,使用192.16820/24 地址空间。对该网络进行子网划分,以提供足够的IP地址来支持60台主机。 步骤2 :创建网络设计时思考以下问题: 需要将192.168.2.0/24 网络划分为多少个子网?_4个___ 这些子网的网络地址分别是什么? 子网0: _192.168.2. 0/26 ___________________________ 子网 1 : _192.168.2.64/26 __________________________ 子网2: _192.168.2.128/26 _________________________ 子网3: _192.168.2.192/26 _________________________ 这些网络以点分十进制格式表示的子网掩码是什么? 255.255.255.192 以斜杠格式表示的网络子网掩码是什么?_/26 ___ 每个子网可支持多少台主机?_62 ______ 步骤3 :为拓扑图分配子网地址。 1. 将子网1分配给连接到HQ的LAN。 2. 将子网2分配给HQ和BRANCH 之间的WAN链路。 3. 将子网3分配给连接到BRANCH的LAN。 4. 子网0用于供将来扩展。
路由器静态路由配置案例
路由器静态路由配置 【案例背景】 学校有新旧两个校区,每个校区是一个独立的局域网,为了使新旧校区能够正常相互通讯,共享资源。每个校区出口利用一台路由器进行连接,两台路由器间学校申请了一条2M的DDN专线进行相连,要求你做适当配置实现两个校区间的正常相互访问。【案例目的】 掌握静态路由的配置方法和技巧,熟悉广域网线缆的连接方式。 【技术原理】 路由器属于网络层设备,能够根据IP包头的信息,选择一条最佳路径,将数据包转发出去。实现不同网段的主机之间的互相访问。 路由器是根据路由表进行选路和转发的。而路由表里就是由一条条的路由信息组成。路由表的产生方式一般有3种: 直连路由给路由器接口配置一个IP地址,路由器自动产生本接口IP所在网段的路由信息。 静态路由在拓扑结构简单的网络中,网管员通过手工的方式配置本路由器未知网段的路由信息,从而实现不同网段之间的连接。 动态路由协议学习产生的路由在大规模的网络中,或网络拓扑相对复杂的情况下,通过在路由器上运行动态路由协议,路由器之间互相自动学习产生路由信息。 【案例内容】 1、按照拓扑进行网络连接 2、配置路由器的接口地址参数 3、配置静态路由 4、测试 【实现功能】 实现网络的互连互通,从而实现信息的共享和传递。 【案例设备】 R1762(2台),PC(2台)、直连线(2条)、V.35线缆(1对) 【案例拓扑】
【主要命令】 Ip route ,clock rate , no shutdown, ip address 【案例步骤】 1、在路由器 Router1 上配置接口的 IP 地址和串口上的时钟频率。 router#conf router#host Router1 Router1(config)# interface fastethernet 1/0 !进入接口fastethernet 1/0的配置模式 Router1(config-if)# ip address 192.168.1.1 255.255.255.0 !配置路由器接口fastethernet 1/0的 IP 地址 Router1(config)# no shutdown !开启路由器 fastethernet0 接口 Router1(config)# interface serial 1/2 !进入接口 S1/2 配置模式 Router1(config-if)# ip address 192.168.2.1 255.255.255.0 !配置路由器接口 S1/2 的 IP 地址 Router1(config-if)#clock rate 64000 !配置 Router1 的时钟频率(DCE ) Router1(config)# no shutdown !开启路由器serial 1/2接口 Router1(config)#end 验证测试:验证路由器接口的配置 Router1#show ip interface brief Interface IP-Address(Pri) OK? Status serial 1/2 192.168.2.1/24 YES UP serial 1/3 no address YES DOWN FastEthernet 1/0 192.168.1.1/24 YES UP FastEthernet 1/1 no address YES DOWN Null 0 no address YES UP Router1#show interface serial 1/2 serial 1/2 is UP , line protocol is UP Hardware is PQ2 SCC HDLC CONTROLLER serial Interface address is: 192.168.2.1/24 MTU 1500 bytes, BW 2000 Kbit Encapsulation protocol is HDLC, loopback not set Keepalive interval is 10 sec , set Carrier delay is 2 sec RXload is 1 ,Txload is 1 Queueing strategy: WFQ 5 minutes input rate 15 bits/sec, 0 packets/sec 5 minutes output rate 17 bits/sec, 0 packets/sec 1030 packets input, 22660 bytes, 0 no buffer Received 1030 broadcasts, 0 runts, 0 giants 14 input errors, 1 CRC, 12 frame, 0 overrun, 1 abort 1031 packets output, 22682 bytes, 0 underruns 0 output errors, 0 collisions, 3 interface resets 1 carrier transitions V35 DCE cable F 1/0 N I C F 1/0 N I C S 1/2 S 1/2 R o u t e r 1 R o u t e r 2
cisco路由器配置教程
Cisco路由器配置教程 翻译:何高卓(2001-04-19 14:28:01) Josh Gentry, 1999年9月6日,v.99 翻译:何高卓1999.12.10 -------------------------------------------------------------------------------- 本人声明:本人本着“我为人人,人人为我”的宗旨翻译了此文。本文仅为阁下提供参考。 如果由于本人在翻译过程中的疏忽和错误造成阁下经济上或精神上的损失,本人 只能深表遗憾而拒绝承担一切责任。 -------------------------------------------------------------------------------- 本文覆盖了使用命令行界面的基本的Cisco路由器IP地址配置 -------------------------------------------------------------------------------- 感谢 以下的资源非常有用: Leinwand、Pinsky和Culpepper。Cisco路由器的配置。印第安纳州印第安纳波利斯:Cisco公司出版,1998。Cisco系统公司, 感谢Newman给我上了配置Cisco路由器的第一节课。 本文的信息原先搜集于,或者说得自于James Hart先生所完成的计划。他在Albuquerque,NM(美国新墨西哥州)的技术/职业学院教师。非常感谢他允许我参加该计划的工作。 弃权书 本文的传播无须明确或含蓄的授权,对本文包含的信息的正确性亦不作任何担保。本文仅提供给需要帮助的人使用,但使用者必须自己承担风险。如果使用者由于使用本文而造成的任何损失作者和TVI(技术/职业学院)概不负责。 约定