返回
防止局域网内私自ip地址(dhcp)

防止局域网内私自ip地址(dhcp)

ID:20154454

大小:54.50 KB

页数:3页

时间:2018-10-07

防止局域网内私自ip地址(dhcp)_第1页
防止局域网内私自ip地址(dhcp)_第2页
防止局域网内私自ip地址(dhcp)_第3页
资源描述:

《防止局域网内私自ip地址(dhcp)》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、防止局域网内私自IP地址(DHCP)  应用实例  我校1#学生公寓,PC拥有数量大约1000台。采用DHCP分配IP地址,拥有4个C类地址,实际可用地址数约1000个。由于楼内经常存在私开的DHCP服务器,导致大量主机无法分配到合法IP地址;另外,由于有相当数量的主机指定IP地址,因此造成了与DHCP分配的IP地址冲突。以上两方面,均造成了该公寓楼大量主机无法正常访问网络。  经过一段时间的分析、实验,我们决定对该公寓楼部署DHCPSnooping和DynamicARPInspection两项技术,以保证网络的正常运行。  该公寓网络设备使用情况如下,接入

2、层为台2950交换机上联至堆叠的4台3750,再通过光纤上联至汇聚层的3750交换机。同时汇聚层的3750交换机还兼做DHCP服务器。  部署过程  首先按如下过程配置DHCPSnooping  1configureterminal  2ipdhcpsnooping在全局模式下启用DHCPSnooping  3ipdhcpsnoopingvlan103在VLAN103中启用DHCPSnooping  4ipdhcpsnoopinginformationoptionEnablethesoveDHCPrelayinformation(option-82field

3、)inforessagestotheDHCPserver.Thedefaultisenabled.  5interfaceGigabitEther1/0/28,进入交换机的第28口  6ipdhcpsnoopingtrust将第28口设置为受信任端口  7ipdhcpsnoopinglimitrate500设置每秒钟处理DHCP数据包上限  9end退出  完成配置后,可用如下命令观察DHCPSnooping运行状况:  shoit(pps)  -----------------------------------------------  GigabitE

4、ther1/0/22yesunlimited  GigabitEther1/0/24yesunlimited  GigabitEther1/0/27yesunlimited  GigabitEther1/0/28no500  shoicARPInspection  1shoeCapabilityPlatformPortID  apGig1/0/23149TAIR-A123下一页....,。P1230Fas0  hall-3750Gig1/0/27135SIicARPInspection  4interfaceGigabitEther1/0/28进入第28端口

5、  5iparpinspectiontrust将端口设置为受信任端口  ThestheothersplyforicARPInspection的运行情况  shoe]DisplaysdetailedinformationaboutARPACLs.  shoitofARPpacketsforthespecifiedinterfaceorallinterfaces.  InterfaceTrustStateRate(pps)BurstInterval  --------------------------------------------------  Gi1/

6、0/21Untrusted151  Gi1/0/22TrustedNoneN/A  Gi1/0/23Untrusted151  Gi1/0/24TrustedNoneN/A  Gi1/0/25Untrusted151  Gi1/0/26Untrusted151  Gi1/0/27TrustedNoneN/A  Gi1/0/28UntrustedNoneN/A  shoicARPinspectionforallVLANsconfiguredonthesicARPInspection  必须限制trunk端口处理ARP包的数量  五、一些问题的讨论  在实际使用

7、过程中我们发现,在配置完上述命令后,3750交换机会在运行一段时间以后变得缓慢,CPU利用率达到100%,性能严重下降。经过分析我们发现,在开始应用DynamicARPInspection时,交换机会记录大量的数据包,当端口通过的数据包过多时,交换机会认为遭受DoS攻击,从而将端口自动errdisable,造成通信中断。为了解决这个问题,我们需要加入命令errdisablerecoverycausearp-inspection。  由于3750交换机能力有限,因此我们建议在使用3750交换机配置上述命令时应逐级增大portlimitrate。  六、小结  

8、DHCP服务在网络中的广泛应用,极大地减轻了网络管理

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。