防止其他设备占用ip造成ip冲突问题(防止ip冲突、防ip冲突)

防止其他设备占用ip造成ip冲突问题(防止ip冲突、防ip冲突)

(第1步)配置静态绑定表
接入层交换机:(因为核心交换机是dhcp中继服务器,dhcp snooping在中继服务器上是不启作用的,所以选择在接入层交换机(非dhcp中继)配置)
举例:
[sw2]user-bind static ip-address 192.168.10.1 mac-address aaaa-aaaa-aa01
结果:
a、配置了此命令后,交换机功能上不会有任何变化,因为IP报文检查功能默认是关闭的。


(第2步):让绑定生效,启用IP报文检查功能(可以基于接口和基于vlan启用)
举例:
[sw2]vlan 10
[sw2-vlan10]ip source check user-bind enable
备注:配置静态绑定表与启用IP报文检查功能即为配置IPSG。
结果:
a、如果电脑不是绑定的ip与mac,手工配置ip地址,则连接不上网络。
b、如果电脑是不是绑定的ip与mac,自动获取ip地址,可以自动获取到ip地址,但是上不了网。
而且电脑的ip如果与其他设备的ip冲突,会有影响。
即:IPSG可以解决你不能使用这个ip上网,但是不能解决ip冲突的问题,绑定arp也是解决不的。


(第3步)让dhcp获取ip的设备可以正常联网,在接入层交换机启用dhcp snooping功能,让自动获取ip的电脑也可以正常联网。
dhcp enable
dhcp snooping enable
interface gigabitethernet 0/0/1
    dhcp snooping enable
连接真正的DHCP服务器的接口(合法的DHCP服务器)
interface gigabitethernet 0/0/3
    dhcp snooping enable
    dhcp snooping trusted
结果:
a、任何设备通过dhcp获取ip都可以上网,不管与"user-bind static ip-address xxxx mac-address xxxx"绑定的是否一致。
b、如果电脑是手动配置的ip地址(不管现在这ip在网络中有没有设备在使用),如果与"user-bind static ip-address xxxx mac-address xxxx"绑定的是不一致,则电脑上不了网,但还是可以造成ip冲突。

在接入层可以查看snooping表项:
[sw2]display dhcp snooping user-bind all


(第4步)解决ip冲突问题,关闭接入层设备的接口mac地址学习功能,手工配置mac地址表。
在交换机所有的接口,VLAN视图下不支持丢弃或转发动作的配置。
interface GigabitEthernet0/0/3
 port link-type access
 mac-address learning disable action discard

[sw2]mac-address static aaaa-aaaa-aa01 GigabitEthernet1/0/5 vlan 10

结果:
a、能上网的设备必须是通过自动获取ip的设备并且使用命令“mac-address static aaaa-aaaa-aa01 GigabitEthernet1/0/5 vlan 10”作了绑定了
或者是使用命令"user-bind static ip-address xxxx mac-address xxxx"绑定并且使用命令“mac-address static aaaa-aaaa-aa01 GigabitEthernet1/0/5 vlan 10”作了绑定了
,才可以正常联网,因为mac地址学习功能已经关闭了。

b、任何设备通过dhcp获取ip都可以上网,不管与"user-bind static ip-address xxxx mac-address xxxx"绑定的是否一致。
c、如果电脑是手动配置的ip地址(故障配置成与其他设备一致),如果与"user-bind static ip-address xxxx mac-address xxxx"绑定的是不一致,则电脑上不了网,不会对其他设备有影响,虽然ip地址一样。
d、如果电脑是手动配置的ip地址(故障配置成与其他设备一致),如果与"user-bind static ip-address xxxx mac-address xxxx"绑定的是一致,则电脑上不了网,会对其他设备有影响。

备注:
a、测试ip冲突的影响时,假如pc1是合法设备,pc2是非法设备,pc1与pc2配置的ip地址是一样的。
如果pc1先接入网络,正常上网,然后pc2再接入网络,此时可能pc1不会断网不会有任何影响。如果就这样得出结果是不严谨的。
较严谨的测试顺序为:但如果pc2先接入网络,pc1再接入网络。即非法的设备要先接入网络。


这个问题可以说是无解。
最终要关闭mac学习功能才解决彻底消除ip冲突带来的问题,那这个接口下就要手动绑定所有mac地址,所以说相当无解。


真机实验:华为交换机:PC1是合法的电脑,使用ip地址192.168.10.1, 现在要防止其他电脑占用此ip地址。
http://www.zh-cjh.com/wangluoanquan/4153.html


基于以上所述,可以采用,一些设备通过dhcp获取ip地址(启用IP报文检查功能),一些设备静态配置(手工配置mac地址表),而通过手动配置的ip地址并没有在手工mac地址表里面,则此设备则不无法上网,但还是会影响其他同ip的设备,这时非法者可能发现此ip用不了,又重新修改别的ip或者找网络管理员。


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 防止其他设备占用ip造成ip冲突问题(防止ip冲突、防ip冲突)

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!