ensp实验：能过ACLv4实现限制非法DHCPv4服务器，（实现类似dhcp snooping功能）

ensp实验：能过ACLv4实现限制非法DHCPv4服务器，（实现类似dhcp snooping功能）    

备注：

ap与用户共用同一vlan又要分开dhcp地址池范围的现场情况：
（1）dhcp服务器只有1台，用户与无线ap共用一台交换机
（2）dhcp服务器只有1台，用户与无线ap不共用一台交换机
（3）dhcp服务器至少2台，用户与无线ap共用一台交换机
（4）dhcp服务器至少2台，用户与无线ap不共用一台交换机

本实验的配置：

R1_2023.01.30.00时52分07秒.txt

sw1_2023.01.30.00时51分48秒.txt

sw2_2023.01.30.00时52分19秒.txt

sw3_2023.01.30.00时52分30秒.txt

（1）拓扑图

（2）配置

sw1:
vlan batch 2 to 3
#
dhcp enable
#
dhcp server group 1
 dhcp-server 12.12.12.2 0
#
interface Vlanif1
 ip address 192.168.1.254 255.255.255.0
 dhcp select relay
 dhcp relay server-select 1
#
interface Vlanif2
 ip address 192.168.2.254 255.255.255.0
 dhcp select relay
 dhcp relay server-select 1
#
interface Vlanif3
 ip address 12.12.12.1 255.255.255.0
#
interface GigabitEthernet0/0/1
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 2                      
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 3
 
sw2:
空配置

sw3:
dhcp enable
ip pool 1
 gateway-list 192.168.3.254
 network 192.168.3.0 mask 255.255.255.0
 dns-list 223.5.5.5 223.6.6.6
interface Vlanif1
 ip address 192.168.3.254 255.255.255.0
 dhcp select global
#
interface GigabitEthernet0/0/1
 port link-type access

R1:
dhcp enable
ip pool 1
 gateway-list 192.168.1.254
 network 192.168.1.0 mask 255.255.255.0
 dns-list 223.5.5.5 223.6.6.6
#
ip pool 2
 gateway-list 192.168.2.254
 network 192.168.2.0 mask 255.255.255.0
 dns-list 223.5.5.5 223.6.6.6
interface GigabitEthernet0/0/0
 ip address 12.12.12.2 255.255.255.0      
 dhcp select glob
ip route-static 0.0.0.0 0.0.0.0 12.12.12.1

（3）测试了pc1可以从r1获取到ip, 也可以从非法的dhcp服务器sw3那获取到ip地址。

（4）配置ACL限制PC1获取非法服务器分配的ip地址

sw2:
interface GigabitEthernet0/0/1
 shutdown

#

acl number 3001
 rule 5 permit udp source 12.12.12.2 0 source-port eq bootps destination-port eq bootpc
 rule 10 deny udp source-port eq bootps destination-port eq bootpc
 rule 200 permit ip

相当：

acl number 3001
 rule 5 permit udp source 12.12.12.2 0 source-port eq 67 destination-port eq 68
 rule 10 deny udp source-port eq 67 destination-port eq 68
 rule 200 permit ip

  bootpc       Bootstrap Protocol Client (UDP 68)
  bootps       Bootstrap Protocol Server (UDP 67)

#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 1
 traffic-filter outbound acl 3001

结果：PC1从非法服务器那没有获取到ip地址

抓包发现，PC1已经发出Discover包，而且非法dhcp服务器也收到了，非法服务器也发offer包到了sw2上，但是sw2从接口上发不出去了，因为acl拦截了。

测试从合法dhcp服务器是否可以获取到ip地址：结果：可以

[sw2]interface GigabitEthernet0/0/1
[sw2-GigabitEthernet0/0/1]undo shutdown

相关知识点：

DHCP报文端口、discovery报文、offe报文r、request报文、ack报文、DHCP端口UDP67UDP68
http://www.zh-cjh.com/luyoujiaohuan/2184.html

DHCP服务器与MAC地址绑定、snooping（列表、list、全）maclist、dhcplist、dhcpsnoopinglist
http://www.zh-cjh.com/wenzhangguilei/1005.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html