DHCP Snooping的实现
DHCP Snooping的实现
DHCP Snooping的实现
1.防止在动态获得IP地址的网络环境中用户手动配置PC的IP地址;
2.防止A用户的PC静态配置的IP地址顶掉B用户PC动态获得的IP地址的网络访问权;
3.防止在动态获得IP地址的网络环境中,内网私自架设非法的DHCP服务器,导致内网合法用户得到没有访问网络能力的IP地址;
前提:
在讲这个技术前,首先我们按理想中的网络结构划分,分为核心层、汇聚层、接入层;核心设备与汇聚设备之间启动了路由协议,汇聚成为它下连vlan的DHCP
Server,接入层是纯2层设备。
汇聚交换机:
全局配置模式下
全局启用dhcp snooping
ip dhcp
snooping
在vlan上启用dhcp snooping,这里需要将相关vlan全部启用dhcp
snooping,启用该服务之后,该VLAN内的所有接口,全部被置为非信任状态,丢弃所有不信任端口接收到的DHCP
offer包,所以可以阻止内网私架的DHCP服务器
ip dhcp snooping vlan 100
启动防止手工指定IP地址可以上网
Ip arp inspection vlan 100
指定检查源MAC地址与目的MAC地址与IP地址的对应关系,看是否与DHCP
Snooping生成的表匹配
Ip arp inspection validate src-mac dst-mac
ip
此配置之后,由于没有配端口信任,交换机会收到大量非法的DHCP信息包,交换机的自动防护会导致接口处于errdisable状态,为了使接口能正常工作,需要在全局下配置
errdisable
recovery cause
arp-inspection
接口配置模式下
在汇聚交换机下连访问交换机的trunk接口上,配置接口信任DHCP信息包
ip dhcp
snooping trust
配置此命令的目的是为了防止过多的非法ARP包,冲到trunk接口上,致使接口进入err-disable状态
ip
arp inspection limit none
配置此命令的目的是为了信任下连交换机传上来的ARP inspection包
ip arp
inspection trust
接入交换机:
全局配置模式下
ip dhcp snooping
ip dhcp
snooping vlan 100
errdisable recovery cause
arp-inspection
接口配置模式下
在访问交换机上连汇聚交换机的trunk接口上,配置接口信任DHCP信息包
ip dhcp
snooping trust
配置此命令的目的是为了防止过多的非法ARP包,冲到trunk接口上,致使接口进入err-disable状态
ip
arp inspection limit none
DHCP Snooping的实现的更多相关文章
- DHCP snooping
DHCP snooping 技术介绍 DHCP监听(DHCP Snooping)是一种DHCP安全特性.Cisco交换机支持在每个VLAN基础上启用DHCP监听特性.通过这种特性,交换机能够拦截第 ...
- Zyxel Switch-How to block a fake DHCP server without enabling DHCP snooping?
How to block a fake DHCP server without enabling DHCP snooping? Scenario How to block a fake DHCP se ...
- h3c dhcp snooping
1. 组网需求Switch B通过以太网端口Ethernet1/1连接到DHCP服务器,通过以太网端口Ethernet1/2.Ethernet1/3连接到DHCP客户端.要求:l与DHCP服务器相连的 ...
- Cisco DHCP Snooping + IPSG 功能实现
什么是DHCP? DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,前身是BOOTP协议, 使用UDP协议工作,常用的2个端口 ...
- dhcp snooping、ARP防护、
应用场景 无线客户端流动性很大和不确定,比如在外来人员比较多的地方:广场.大厅.会议室和接待室等等.使用该方案可以有效地避免因为无线端出现私设IP地址导致地址冲突或者客户端中ARP病毒发起ARP攻击的 ...
- DHCP snooping(DHCP监听)
DHCP监听可以防范利用DHCP发起的多种攻击行为,如DHCP中间人攻击,伪造多台设备耗尽地址池 DHCP监听允许可信端口上的所有DHCP消息,但是却过滤非可信端口上的DHCP消息,DHCP监听还会在 ...
- (四)Cisco dhcp snooping实例2-多交换机环境(DHCP服务器和DHCP客户端位于不同VLAN)
试验拓扑 环境:dhcp server和客户端处于不同网段的情况 dhcp server的配置 no ip routing ip dhcp pool vlan27 network 172.28.27. ...
- (五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)
试验拓扑 环境:dhcp server和dhcp客户端属于同vlan,但是客户端属于不同的交换机,在L2和L3交换机开启dhcp snooping后得出如下结论 L3交换机的配置 ip dhcp po ...
- (三)Cisco dhcp snooping实例1-单交换机(DHCP服务器和DHCP客户端位于同一VLAN)
环境:cisco dhcp server和客户端都属于vlan27,dhcp server 接在交换机G0/1,客户端接在交换机的G0/2 cisco dhcp server相关配置 ip dhcp ...
随机推荐
- asterisk-java ami5 分机状态,挂机原因之类的
这些东西网上随便一找一大堆,也只是记录下自己找的.方便以后自己复制粘贴用. 最后为啦实现分机状态在web的实时更新,我选择啦使用websocket. //获得分机状态 public static St ...
- 解压上传的zip文件流和文件
/** * 解压上传的zip文件流 * @param stream * @param outputDirectory */ public static String unzip(InputStream ...
- linux 11201(11203) ASM RAC 安装
注意:11G的RAC安装,如果升级,则会新建目录在放软件,原来的不删除,所以所需空间比较大. 1.安装系统,把所有的开发包全部安装上 关掉防火墙和SELinux yum -y install comp ...
- python文件的读写的模式
<1>打开文件 在python,使用open函数,可以打开一个已经存在的文件,或者创建一个新文件 open(文件名,访问模式) 示例如下: f = open('test.txt', 'w' ...
- vue开发 - 根据vue-router的meta动态设置html里标签的内容
路由文件 :router/index.js import Vue from 'vue'import Router from 'vue-router'import index '@/view/index ...
- pycharm connect to mysql
1.download mysql installer community 5.7.20 https://dev.mysql.com/downloads/file/?id=473605 or 链接:ht ...
- oracle分析函数系列之sum(col1) over(partition by col2 order by col3):实现分组汇总或递增汇总
语法:sum(col1) over(partition by col2 order by col3 ) 准备数据: DEPT_ID ENAME SAL1 1000 ...
- 「 HDU 1978 」 How many ways
# 解题思路 记忆化搜索 一个点可以跳到的点,取决于它现在的能量.而且有一个显而易见的性质就是一条可行路径的终点和起点的横坐标之差加上纵坐标之差肯定小于等于起点的能量. 因为跳到一个点之后,能量和之前 ...
- HDU - 2102 A计划(双层BFS)
题目: 可怜的公主在一次次被魔王掳走一次次被骑士们救回来之后,而今,不幸的她再一次面临生命的考验.魔王已经发出消息说将在T时刻吃掉公主,因为他听信谣言说吃公主的肉也能长生不老.年迈的国王正是心急如焚, ...
- [Python3网络爬虫开发实战] 1.4.3-Redis的安装
Redis是一个基于内存的高效的非关系型数据库,本节中我们来了解一下它在各个平台的安装过程. 1. 相关链接 官方网站:https://redis.io 官方文档:https://redis.io/d ...