zoukankan      html  css  js  c++  java
  • DHCP Snooping的实现

    DHCP Snooping的实现

    DHCP Snooping的实现

    主要作用:
    1.防止在动态获得IP地址的网络环境中用户手动配置PC的IP地址;
    2.防止A用户的PC静态配置的IP地址顶掉B用户PC动态获得的IP地址的网络访问权;
    3.防止在动态获得IP地址的网络环境中,内网私自架设非法的DHCP服务器,导致内网合法用户得到没有访问网络能力的IP地址;

    前提:
    在讲这个技术前,首先我们按理想中的网络结构划分,分为核心层、汇聚层、接入层;核心设备与汇聚设备之间启动了路由协议,汇聚成为它下连vlan的DHCP Server,接入层是纯2层设备。

    汇聚交换机:
    全局配置模式下
    全局启用dhcp snooping
    ip dhcp snooping

    在vlan上启用dhcp snooping,这里需要将相关vlan全部启用dhcp snooping,启用该服务之后,该VLAN内的所有接口,全部被置为非信任状态,丢弃所有不信任端口接收到的DHCP offer包,所以可以阻止内网私架的DHCP服务器
    ip dhcp snooping vlan 100
      
    启动防止手工指定IP地址可以上网
    Ip arp inspection vlan 100
    指定检查源MAC地址与目的MAC地址与IP地址的对应关系,看是否与DHCP Snooping生成的表匹配
    Ip arp inspection validate src-mac dst-mac ip

    此配置之后,由于没有配端口信任,交换机会收到大量非法的DHCP信息包,交换机的自动防护会导致接口处于errdisable状态,为了使接口能正常工作,需要在全局下配置
    errdisable recovery cause arp-inspection

    接口配置模式下
    在汇聚交换机下连访问交换机的trunk接口上,配置接口信任DHCP信息包
    ip dhcp snooping trust
    配置此命令的目的是为了防止过多的非法ARP包,冲到trunk接口上,致使接口进入err-disable状态
    ip arp inspection limit none
    配置此命令的目的是为了信任下连交换机传上来的ARP inspection包
    ip arp inspection trust


    接入交换机:
    全局配置模式下
    ip dhcp snooping
    ip dhcp snooping vlan 100

    errdisable recovery cause arp-inspection

    接口配置模式下
    在访问交换机上连汇聚交换机的trunk接口上,配置接口信任DHCP信息包
    ip dhcp snooping trust
    配置此命令的目的是为了防止过多的非法ARP包,冲到trunk接口上,致使接口进入err-disable状态
    ip arp inspection limit none




  • 相关阅读:
    [SCOI2015]国旗计划
    [SCOI2015]小凸玩矩阵
    点分治复习笔记
    [HNOI2014]米特运输
    [HNOI2015]接水果
    [HEOI2016/TJOI2016]游戏
    为什么验证集的loss会小于训练集的loss?
    转载GPU并行计算
    深度学习图像标注工具汇总(转载)
    你理解了吗?
  • 原文地址:https://www.cnblogs.com/sanyuanempire/p/6154771.html
Copyright © 2011-2022 走看看