項目3：實現(xiàn)部門網(wǎng)中IP地址自動管理《中小型網(wǎng)絡(luò)構(gòu)建》（中級篇）某電子商務公司是一家小家電銷售公司，依托電商平臺完成小家電采購、銷售。針對各大電商平臺組建了多個部門的項目團隊，組建了互聯(lián)互通的中小企業(yè)辦公網(wǎng)絡(luò)系統(tǒng)。為簡化公司內(nèi)部的網(wǎng)絡(luò)管理，公司網(wǎng)絡(luò)搭建實現(xiàn)扁平化，通過核心交換機連接多個不同的工作部門，實現(xiàn)網(wǎng)絡(luò)的互聯(lián)互通，如圖3-1所示。在核心網(wǎng)絡(luò)中搭建公司的DHCP服務器，實現(xiàn)各個部門網(wǎng)絡(luò)中設(shè)備自動獲取地址，保障DHCP服務器的安全?！卷椖棵枋觥酷槍Ω鱾€部門的網(wǎng)絡(luò)，通過DHCP中繼方式，為各個部門網(wǎng)絡(luò)中設(shè)備分配地址。為了報告DHCP網(wǎng)絡(luò)服務器的安全，通過實施DHCPsnooping技術(shù)，保護DHCP服務器安全。為了完成以上中小企業(yè)網(wǎng)絡(luò)中的IP地址管理優(yōu)化，通過以下幾項任務完成。任務1：配置三層交換機DHCP，為部門網(wǎng)絡(luò)自動分配地址。任務2：配置DHCP中繼，實現(xiàn)辦公網(wǎng)設(shè)備自動獲取地址。任務3：配置DHCPsnooping，保護DHCP服務器安全?！卷椖糠治觥俊卷椖繉嵤咳蝿?：配置DHCPsnooping，保護DHCP服務器安全任務3：配置DHCPsnooping，保護DHCP服務器安全【任務描述】某電子商務公司的辦公網(wǎng)絡(luò)為了優(yōu)化該公司的IP地址管理，在網(wǎng)絡(luò)中心部署DHCP服務器，幫助全公司實現(xiàn)IP地址自動分配管理。在日程使用過程中，有工作人員自帶家庭無線路由器連接在辦公網(wǎng)接口上，擴展辦公網(wǎng)無線。家庭無線路由器上的自動DHCP地址獲取功能，經(jīng)常引導辦公網(wǎng)中移動設(shè)備獲取錯誤的IP地址，導致用戶獲取到錯誤地址而不能上網(wǎng)或地址沖突。需要實施DHCPSnooping（DHCP監(jiān)聽）功能，防止用戶偽造IP進行內(nèi)網(wǎng)掃描攻擊的安全功能?！炯夹g(shù)講解】任務3：配置DHCPsnooping，保護DHCP服務器安全

1.什么是DHCPSnoopingDHCPSnooping意為DHCP窺探，在一次PC動態(tài)獲取IP地址的過程中，通過對Client和服務器之間的DHCP交互報文進行窺探，實現(xiàn)對用戶的監(jiān)控。同時，DHCPSnooping起到一個DHCP報文過濾的功能。通過合理的配置實現(xiàn)對非法服務器的過濾，防止用戶端獲取到非法DHCP服務器提供的地址而無法上網(wǎng)。

2.部署DHCPSnooping安全當網(wǎng)絡(luò)中存在DHCP服務器欺騙的時候，就可以考慮采用這個功能。如網(wǎng)絡(luò)中有個別工作人員在一些接入層的端口連接有TPLINK，DLINK這樣的無線路由器，開啟了DHCP分配IP的服務。推薦在用戶接入層交換機上面部署該功能，越靠近PC端口控制的越準確，而每個交換機的端口推薦只連接一臺PC。否則，如果交換機某端口下串接一個HUB，在HUB上連接了若干計算機的話，那么，如果湊巧該HUB下發(fā)生DHCP欺騙，由于欺騙報文都在HUB端口間直接轉(zhuǎn)發(fā)了，沒有受到接入層交換機的DHCPsnooping功能的控制，這樣的欺騙就無法防止了。【任務實施】……限于篇幅，此處省略。按照實訓手冊實