cisco交换机配置dhcp snooping与IPSG (eve模拟器做此实验没有效果)
cisco交换机配置dhcp snooping与IPSG
(1)拓扑图
(2)基础配置
sw1: 略(默认配置)
interface GigabitEthernet0/0
negotiation auto
!
interface GigabitEthernet0/1
negotiation auto
!
interface GigabitEthernet0/2
negotiation auto
(3)配置dhcp snooping
##开启DHCP Snooping功能
sw1(config)#ip dhcp snooping
##设置DHCP Snooping功能将作用于哪些VLAN
sw1(config)#ip dhcp snooping vlan 1-4094
##配置交换机能从非信任端口接收带option 82的DHCP报文
sw1(config)#ip dhcp snooping information option allow-untrusted
##将DHCP监听绑定表保存在flash中,文件名为dhcp_snooping.db
sw1(config)#ip dhcp snooping database flash:dhcp_snooping.db
##指DHCP监听绑定表发生更新后,等待30秒,再写入文件,默认为300秒
ip dhcp snooping database write-delay 30
##指DHCP监听绑定表尝试写入操作失败后,重新尝试写入操作,直到60秒后停止尝试,默认为300秒
sw1(config)#ip dhcp snooping database timeout 60
##使由于DHCP报文限速原因而被禁用的端口能自动从err-disable状态恢复
sw1(config)#errdisable recovery cause dhcp-rate-limit
##设置自动恢复时间;端口被置为err-disable状态后,经过30秒时间自动恢复
sw1(config)#errdisable recovery interval 30
测试:pc1与pc2还是可以获取到ip地址
##开启dhcp 服务
sw1(config)#service dhcp
##开启三层路由功能
sw1(config)#ip routing
测试:pc1与pc2还是可以获取到ip地址,可能是eve模拟器不支持snooping实验吧。
##设置dhcp服务器方向的接口为信任端口,其它端口自动默认为非信任端口
sw1(config)#interface GigabitEthernet0/0
sw1(config-if)#ip dhcp snooping trust
##显示与维护
#查看交换机配置情况
sw1#show running-config
#查看交换机端口速率、信任端口、非信任端口等信息
sw1#show ip dhcp snooping
#查看DHCP snooping绑定表
sw1#show ip dhcp snooping binding
什么是IPSG?
IP 源防护(IP Source Guard,简称 IPSG)是一种基于 IP/MAC 的端口流量过滤技术,它可以防止局域网内的 IP 地址欺骗攻击。
IPSG 能够确保第 2 层网络中终端设备的 IP 地址不会被劫持,而且还能确保非授权设备不能通过自己指定 IP 地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。
IPSG作用:
1、防止用户手动配置固定IP地址,造成与信任DHCP Server(公司DHCP服务器)分配的IP地址冲突。(需要配合DHCP Snooping功能共同实现)
2、实现静态绑定IP+vlan+端口,同时配合HDCP Snooping功能一起使用可实现动态绑定。
标注:IPSG配置参照以上DHCP Snooping配置不变,只要增加以下配置即可:
sw1交换机增加以下配置信息:
##信任端口不必配置
sw1(config)#interface range gigabitEthernet 1/0/1-15
sw1(config-if-range)#ip verify source port-security
#交换机允许手动设置IP地址绑定命令,一般绑定了就不能自动获取,除非DHCP服务器上存在你的IP与MAC绑定信息,否则无法自动获取IP地址
sw1(config)#ip source binding D1:C1:81:93:24:E5 vlan 1 10.11.8.1 interface gigabitEthernet 0/2
##显示与维护
sw1#show ip source binding
sw1#show ip verify source
DHCP服务器与MAC地址绑定、snooping(列表、list、全)maclist、dhcplist、dhcpsnoopinglist
http://www.zh-cjh.com/wenzhangguilei/1005.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » cisco交换机配置dhcp snooping与IPSG (eve模拟器做此实验没有效果)
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm