网络拓扑:
配置思路:
接入层交换机配置DHCP Snooping拒绝非法DHCP设备,IPSG拒绝非法IP
操作步骤
一、DHCP Snooping+IPSG防止恶意DHCP与IP冲突
实现控制只能获取企业内部合法的DHCP服务分配的地址,而其余的DHCP服务器则不能通过。
1、配置DHCP Snooping
1.1、开启全局DHCP Snooping功能
[SW5]dhcp enable
[SW5]dhcp snooping enable1.2、面向用户的接口开启DHCP Snooping功能
[SW5]port-group 1
[SW5-port-group-1]group-member Ethernet 0/0/1 to Ethernet 0/0/2
[SW5-port-group-1]dhcp snooping enable
[SW5-port-group-1]quit1.3、连接DHCP服务器的上联接口开启trust功能
[SW5]port-group 2
[SW5-port-group-2]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/2
[SW5-port-group-2]dhcp snooping trusted
[SW5-port-group-2]quitDHCP Snooping的工作原理就是当开启DHCP Snooping功能后,接口处于Trust的状态则接收对应的DHCP ACK与Offer包,而其余接口默认处于Untrust中,所以会丢弃这些包
1.4、查看结果(SW5G0/0/1抓包查看DHCP数据包)
1.5、测试禁止DHCP(SW5E0/0/1抓包查看DHCP数据包,ACK与Offer包被丢弃看不到,也可以在SW5G0/0/1抓包,一样是看不到的)
把上联接口加入到dhcp snooping,下联设备就会无法获取IP地址
[SW5]interface GigabitEthernet 0/0/1
[SW5-GigabitEthernet0/0/1]dhcp snooping enable
[SW5-GigabitEthernet0/0/1]undo dhcp snooping trusted
[SW5-GigabitEthernet0/0/1]quit
2、配置IP Source Guead
有时候客户会私自定义IP地址,但是客户又不是非常懂,那么导致可能与网关或者其他PC的地址冲突了,所以我们这里必须杜绝该种情况出现,必须通过DHCP获取地址才能访问内网与外网。
2.1、开启IPSG
IPSG功能是基于绑定表(DHCP动态和静态绑定表)对IP报文进行匹配检查。当设备在转发IP报文时,将此IP报文中的源IP、源MAC(Media Access Control)、接口、VLAN(Virtual Local Area Network)信息和绑定表的信息进行比较,如果信息匹配,表明是合法用户,则允许此报文正常转发,否则认为是攻击报文,并丢弃该IP报文。
eNSP模拟器存在问题,无法实现这个效果。因此使用了物理设备Quidway S2700-9TP-EI-AC充当SW5
[SW5]interface Ethernet0/0/1
[SW5-Ethernet0/0/1]ip source check user-bind enable
[SW5-Ethernet0/0/1]ip source check user-bind alarm enable
[SW5-Ethernet0/0/1]quit2.2、如果手动IP触发告警,并且客户端是无法访问网络
3.4、静态绑定表项
门禁、考勤机、打印机之类为固定IP地址,因此需要静态绑定
[SW5]user-bind static ip-address 192.168.2.100 mac-address 000e-c6aa-1f62 vlan 2
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/95222.html
