返回
ip dhcp snooping

ip dhcp snooping

ID:21073863

大小:432.00 KB

页数:9页

时间:2018-10-19

ip dhcp snooping_第1页
ip dhcp snooping_第2页
ip dhcp snooping_第3页
ip dhcp snooping_第4页
ip dhcp snooping_第5页
资源描述:

《ip dhcp snooping》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、应用场景:IPSourceGuard可以实现防止用户私设IP地址及防止用户变化源IP的扫描行为,要求用户必须动态DHCP方式获取IP,否则将无法使用网络;IPSourceGuard配合ARP-check功能使用可以有效预防ARP欺骗,具体配置参考IPSourceGuard+ARP-check防范ARP功能简介:IPSourceGuard:IPSourceGuard(IP源防护)维护一个IP源地址绑定数据库,IPSourceGuard可以在对应的接口上主机报文进行基于源IP、源IP和源MAC的报文过滤,从而保证只有IP源地址绑定数据库中的主机才能正常使用网络。IPSourceGua

2、rd会自动将DHCPSnooping绑定数据库中的合法用户绑定同步到IPSourceGuard的IP源地址绑定数据库(硬件安全表项中),这样IPSourceGuard就可以在打开DHCPSnooping设备上对客户端的进行严格过滤;默认情况下,打开IPSourceGuard的功能的端口会过滤所有非DHCP的IP报文;只有当客户端通过DHCP从服务器获取到合法的IP或者管理员为客户端配置了静态的IP源地址绑定,端口将允许和这个客户端匹配的IP报文通过。IPSourceGuard支持基于IP+MAC或者基于IP的过滤,如果打开基于IP+MAC的过滤,IPSourceGuard会对所有

3、报文的MAC+IP进行检测,仅仅允许IP源地址绑定表格中存在的用户报文通过;而基于IP的过滤,仅仅会对报文的源IP地址进行检测。一、组网需求用户网关在核心交换机上,核心交换机创建DHCPServer,接入交换机下联PC使用动态DHCP获取IP地址,为了防止内网用户私设IP,需要实施IPSourceGuard功能,对于私设IP地址的用户不让访问外网。二、组网拓扑三、配置要点1、在核心交换机上开启DHCPServer功能(部分场景中,客户可能采用专用DHCP服务器,则核心交换机只需要启用DHCPRelay功能即可)2、在接入交换机上全局开启dhcpsnooping功能,并且在上联核心

4、的端口开启DHCPSnooping信任口3、在接入交换机连接用户的端口开启IPSourceGuard功能4、网络中存在个别用户使用静态IP,配置IPSourceGuard功能后也能实现安全控制。四、配置步骤核心交换机配置:1、开启核心设备的DHCP服务功能Ruijie(config)#servicedhcp2、创建核心设备的IP地址,即用户的网关地址Ruijie(config)#interfacevlan1Ruijie(config-if-VLAN1)#ipaddress192.168.1.254255.255.255.0Ruijie(config-if-VLAN1)#exit3

5、、创建核心设备的DHCP地址池Ruijie(config)#ipdhcppoolvlan1Ruijie(dhcp-config)#network192.168.1.0255.255.255.0------>子网掩码要和所设置IP地址的子网掩码一致,这里都是/24位掩码Ruijie(dhcp-config)#dns-server218.85.157.99------>设置分配给客户端的DNS地址Ruijie(dhcp-config)#default-router192.168.1.254------>设置分配给用户的网关地址,这个要和核心设备上所设置的IP地址一致,为192.168

6、.1.254Ruijie(dhcp-config)#endRuijie#wr接入交换机配置:1、在接入交换机上开启dhcpsnooping功能Ruijie>enableRuijie#configureterminalRuijie(config)#ipdhcpsnooping------>开启DHCPsnooping功能2、连接DHCP服务器的接口配置为可信任口Ruijie(config)#interfacegigabitEthernet0/49Ruijie(config-GigabitEthernet0/49)#ipdhcpsnoopingtrust------>开启DHCPsn

7、ooping的交换机所有接口缺省为untrust口,交换机只转发从trust口收到的DHCP响应报文(offer、ACK)3、连接用户的接口开启IPSourceGuard功能Ruijie(config)#interfacerangefastEthernet0/1-2------>同时进入1口和2口接口配置模式Ruijie(config-if-range)#ipverifysourceport-security------>开启源IP+MAC的报文检测,将DHCPSnooping形

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。