晴川综合网-西昌地区开办最早的个人网站之一

搜索
查看: 21366|回复: 0

交换机如何防止用户私设静态IP地址?

[复制链接]
发表于 2020-6-21 23:16:02 | 显示全部楼层 |阅读模式
只允许DHCP服务器绑定的MAC上网,手动配置的IP地址数据包不通过

防止用户私设静态IP地址,可以达到同一接口下只有与绑定的IP+MAC相同的报文或者是合法的DHCP自动获取IP地址的报文才能通过,其它报文不能通过。
华为交换机虽然没有H3C交换机的am user-bind命令,但是通过DHCP Snooping功能也可以实现IP+MAC+端口绑定以防止用户私设静态IP地址。例如,若要求端口Ethernet0/0/1下除了静态IP地址为1.1.1.2、MAC地址为001c-2309-9aa7对应的用户外,其它所有静态IP用户都不能上网。配置如下:
1. 配置设备的DHCP Snooping功能
# 使能全局DHCP Snooping功能。
[HUAWEI] dhcp snooping enable
# 配置用户侧接口所属的VLAN。
[HUAWEI] vlan 100
[HUAWEI-vlan100] quit
[HUAWEI] interface ethernet 0/0/1
[HUAWEI-Ethernet0/0/1] port default vlan 100
[HUAWEI-Ethernet0/0/1] quit
# 使能VLAN下的DHCP Snooping功能。
[HUAWEI] vlan 100
[HUAWEI-vlan100] dhcp snooping enable
2. 配置在用户侧接口进行报文检查
[HUAWEI] interface ethernet 0/0/1
[HUAWEI-Ethernet0/0/1] arp anti-attack check user-bind enable
[HUAWEI-Ethernet0/0/1] ip source check user-bind enable
[HUAWEI-Ethernet0/0/1] quit
3. 配置静态绑定表项
[HUAWEI] user-bind static ip-address 1.1.1.2 mac-address 001c-2309-9aa7 interface ethernet 0/0/1

说明:
静态IP用户才需要配置静态绑定表项,如果是DHCP自动获取IP地址的用户就不需要再绑定静态IP。




说明一下,dhcp snooping trusted 这个命令的意思 当把dhcp snooping开启bai之后,所du有端口的in方向都是非信任端口,也就是zhidhcp不能通过任何端dao口的in方向,所以需要把上连口用dhcp snooping trusted 配置能信任端口,否则其它端口无法获取到dhcp
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|手机版|Archiver|晴川综合网(晴川论坛) 蜀ICP备12004085号-1

GMT+8, 2024-11-30 15:11 , Processed in 0.093600 second(s), 15 queries .

Powered by Discuz! X3.4

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表