cjh 真机实验:华为交换机:PC1是合法的电脑,使用ip地址192.168.10.1, 现在要防止其他电脑占用此ip地址。
真机实验:华为交换机:PC1是合法的电脑,使用ip地址192.168.10.1, 现在要防止其他电脑占用此ip地址。
dhcp server_2023.06.08.22时52分57秒.txt
(1)拓扑图
(2)基本配置
(3)pc2使用192.168.10.2可以上网
(4)配置sw1
[sw1]user-bind static ip-address 192.168.10.1 mac-address aaaa-aaaa-aa01
pc2此时使用192.168.10.1还可以上网的。
[sw1]vlan 10
[sw1-vlan10]ip source check user-bind enable
Info: Add permit rule for snooping bind-table, please wait a minute.done.
[sw1-vlan10]
pc2此时使用192.168.10.1还可以上网的。
[sw1]display dhcp static user-bind all
DHCP static Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address MAC Address VSI/VLAN(O/I/P) Interface
--------------------------------------------------------------------------------
192.168.10.1 aaaa-aaaa-aa01 -- /-- /-- --
--------------------------------------------------------------------------------
Print count: 1 Total count: 1
[sw1]
[sw1]
(5)配置sw2
dhcp enable
#
dhcp snooping enable
但先不要配置信任端口。
[sw2]user-bind static ip-address 192.168.10.1 mac-address aaaa-aaaa-aa01
[sw2]vlan
[sw2-vlan10]ip source check user-bind enable
Info: Add permit rule for snooping bind-table, please wait a minute.done.
[sw2-vlan10]
结果:pc2使用192.168.10.2就上不了网了,但是pc1是可以的。
但如果pc2配置了192.168.10.1此时也接入了网络,还是会造成ip冲突 ,影响pc1的网络。导致pc1ping不通网关。
即:如果pc1离线了,但如果pc2配置了192.168.10.1此时也接入了网络,但是pc2此时ping不通网络的。这时pc1也接入网络,但因为pc2已经提前在线,所以些pc1显示ip冲突,pc1也上不了网。
pc4可以获取到ip地址,但是上不了网
解决:配置信任端口:
sw2:
#
interface GigabitEthernet1/0/4
port link-type access
port default vlan 10
dhcp snooping trusted
interface GigabitEthernet1/0/5
port link-type access
port default vlan 10
dhcp snooping enable
#
配置了信任端口后,pc1就可以ping通了。
pc1如果手动换了其他ip地址是上不了网的,如果是dhcp获取,如果获取的还是绑定的ip地址也是上不了网的。
pc3上不了网。
pc4可以获取到ip地址,但是ping不通网关:
[sw2]user-bind static ip-address 192.168.10.253 mac-address aaaa-aaaa-aa04
Info: 1 static user-bind item(s) added.
[sw2
[sw2]undo user-bind static ip-address 192.168.10.253 mac-address aaaa-aaaa-aa04
[sw2]user-bind static ip-address 192.168.10.250 mac-address aaaa-aaaa-aa04
现在的问题:如果没有手动绑定,则上不了网,所以要让通过dhcp获取ip地址的电脑能上网。把所有交换机重启后,这个问题就解决了。
<sw1>display dhcp snooping user-bind all
DHCP Dynamic Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address MAC Address VSI/VLAN(O/I/P) Interface Lease
--------------------------------------------------------------------------------
192.168.10.252 96db-7b5b-1b54 10 /-- /-- GE0/0/3 2008.10.01-02:31
192.168.10.253 aaaa-aaaa-aa04 10 /-- /-- GE0/0/3 2008.10.01-02:52
--------------------------------------------------------------------------------
Print count: 2 Total count: 2
<sw1>
[sw2]display dhcp snooping user-bind all
Info: The number of dhcp snooping bind-table is zero.
[sw2]
把所有交换机都重启后测试:
pc1
pc4
pc3
当pc2配置了192.168.10.1 , pc1接入网络后显示ip冲突,并pc1与pc2都通不了网络。
尝试绑定arp。
[sw1]arp static 192.168.10.1 aaaa-aaaa-aa01
绑定arp也解决不了问题:
pc1接入网络,还是显示ip冲突,上不了网:
如果pc1自动获取ip,可以正常上网。
清除MAC地址表项(系统视图)
[sw1]undo mac-address dynamic
关闭vlan10的mac地址学习功能
sw1:
vlan 10
mac-address learning disable
[sw1]mac-address static aaaa-aaaa-aa01 GigabitEthernet 0/0/3 vlan 10
[sw1]
[sw1]display mac-address
-------------------------------------------------------------------------------
MAC Address VLAN/VSI Learned-From Type
-------------------------------------------------------------------------------
a0f4-7947-0433 1/- GE0/0/4 dynamic
aaaa-aaaa-aa01 10/- GE0/0/3 static
-------------------------------------------------------------------------------
Total items displayed = 2
[sw1]
pc2还是会影响pc1。
[sw2]vlan 10
[sw2-vlan10]mac-address learning disable
[sw2]undo mac-address dynamic
[sw2]display mac-address
-------------------------------------------------------------------------------
MAC Address VLAN/VSI Learned-From Type
-------------------------------------------------------------------------------
-------------------------------------------------------------------------------
Total items displayed = 0
[sw2]
[sw2]mac-address static aaaa-aaaa-aa01 GigabitEthernet 1/0/5 vlan 10
[sw2]display mac-address
-------------------------------------------------------------------------------
MAC Address VLAN/VSI Learned-From Type
-------------------------------------------------------------------------------
aaaa-aaaa-aa01 10/- GE1/0/5 static
-------------------------------------------------------------------------------
Total items displayed = 1
[sw2]
[sw2]
后面又测试了下,在sw1与sw1同时关闭vlan 10的mac地址学习功能与绑定arp, 如果是pc2先接入网络,pc1再接入,pc2还是会影响pc1,只是pc2不管怎样都上不了网。
vlan 10
mac-address learning disable
arp static 192.168.10.1 aaaa-aaaa-aa01
分析:缺省情况下,指定禁止MAC地址学习功能后,接口所采取的动作是forward。
注意:在vlan视图下没有action, 但是在接口视图有。
注意:配置关闭MAC地址学习功能后,设备将不会再从该接口学习新的MAC地址,但是无法做到阻止某些设备或终端访问网络。陈:不理解,接入交换机都学习不到mac地址了,pc怎样上网?
结果:pc2还是会影响pc1。
疑问:关闭了mac学习还能获取ip吗? 陈:可以的。
疑问: 关mac自动学习,动作指定为丢弃后,
配置的ip与别人一致时,但是会影响别人上网不? 陈:会。
看来以上的操作,关闭sw2的mac-address学习的功能也是解决不ip冲突的问题。
试下把网关,sw1的也关闭
sw1:
interface GigabitEthernet0/0/3
port link-type access
mac-address learning disable action discard
port default vlan 10
dhcp snooping enable
#
[sw1]undo mac-address all
把有的pc都上不了网了。
[sw2]mac-address static aaaa-aaaa-aa01 GigabitEthernet1/0/5 vlan 10
[sw1]mac-address static aaaa-aaaa-aa01 GigabitEthernet0/0/3 vlan 10
此pc1可以上网,pc2也影响不了。
分析,因为在pc1与pc2上把相关的接口都关闭了mac-address学习,所以非法pc2也影响不了pc1了, 除了pc1, 其他电脑都获取不了ip地址。
[sw2]mac-address static aaaa-aaaa-aa01 GigabitEthernet1/0/5 vlan 10
sw2:
interface GigabitEthernet1/0/5
mac-address learning disable action discard
[sw1]mac-address static aaaa-aaaa-aa01 GigabitEthernet0/0/3 vlan 10
sw1:
interface GigabitEthernet0/0/3
mac-address learning disable action discard
测试:把sw1上的mac-address禁止学习相关命令都删除,只保留sw2上的(sw1与sw2都undo mac-address all,然后重新配置mac-address静态条目绑定),结果:
都了pc1可以上网,其他电脑都上不了,而且pc2也影响不了pc1,除了pc1, 其他电脑都获取不了ip地址。
[sw2]mac-address static aaaa-aaaa-aa01 GigabitEthernet1/0/5 vlan 10
[sw1]mac-address static aaaa-aaaa-aa01 GigabitEthernet0/0/3 vlan 10
测试:把pc4的mac地址绑定上。结果:pc4可以获取ip地址并且可以上网了。
[sw2]mac-address static aaaa-aaaa-aa04 GigabitEthernet1/0/5 vlan 10
测试:pc4配置固定ip地址。结果:pc4上不了网。
如果pc4配置192.168.10.1还是会影响pc1上网的,比如,pc4先开机后,pc1再接入网络,这时pc1也能上网。
再测试把sw1的arp静态条目删除,并重启交换机,目的是把动态arp也清除。
[sw1]undo arp static 192.168.10.1 aaaa-aaaa-aa01
reboot
结果:pc4已经影响了pc1, 测试过程,pc4先启动,pc1后面再接入线路。
再测试,结果:在网关上配不配置arp static 192.168.10.1 aaaa-aaaa-aa01,结果是一样的。
[sw1]arp static 192.168.10.1 aaaa-aaaa-aa01
结果:pc4已经影响了pc1, 测试过程,pc4先启动,pc1后面再接入线路。
[sw2]display dhcp snooping user-bind all
DHCP Dynamic Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address MAC Address VSI/VLAN(O/I/P) Interface Lease
--------------------------------------------------------------------------------
192.168.10.253 aaaa-aaaa-aa04 10 /-- /-- GE1/0/5 2023.06.09-11:24
--------------------------------------------------------------------------------
Print count: 1 Total count: 1
[sw2]
总结:
IPSG
IPSG应用场景
IPSG功能主要用于防止IP地址冒用的场景,例如希望实现用户私自更改IP地址后不能访问外网时可以配置此功能。
IP地址冒用指攻击者使用自己的MAC地址,但是冒用他人的IP地址进行通信,以获取被攻击者的权限或者本应发送给被攻击者的报文。
IPSG实现原理
IPSG功能是基于绑定表(DHCP动态和静态绑定表)对IP报文进行匹配检查。
设备在转发IP报文时,将IP报文中的源IP地址、源MAC地址、接口、VLAN信息和绑定表的信息进行比较(比较的内容用户可以根据需要进行配置,例如可以只将IP报文中的源IP地址和VLAN信息与绑定表的信息进行比较):
如果信息匹配,表明是合法用户,则允许此IP报文正常转发。
否则认为是攻击报文,丢弃该IP报文。
配置IPSG功能时,用户可以执行命令user-bind static,配置静态绑定表。
结果:
(1)ipsg防止你不能使用我的ip地址上网,而不能解决“你使用我的ip地址”造成ip冲突,影响合法主机的上网。
结论如下链接:
防止其他设备占用ip造成ip冲突问题
http://www.zh-cjh.com/wangluoanquan/4157.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 真机实验:华为交换机:PC1是合法的电脑,使用ip地址192.168.10.1, 现在要防止其他电脑占用此ip地址。
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm