扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
2010年8月30日
关键字: 网络
下面我们主要讲解了IP dhcp snooping的内容。包括:3750配置DHCP服务,配置DHCP snooping、静态IP dhcp snooping和IP Source Guard、启动dai、DHCP设置,分配固定IP
前面的文章中我们也讲解过dhcp snooping的有关知识,对于它的理解,配置以及相关的调制,应用我们都介绍过了。这里我们再来对IP dhcp snooping的具体配置以及案例分析进行一下介绍,希望对大家能够有所帮助。
1、3750配置DHCP服务,配置DHCP snooping
如下:(无用的部分已经删除了)
clock timezone WST 8
switch 1 provision ws-c3750g-48ts
system mtu routing 1500
ip subnet-zero
ip dhcp excluded-address 192.168.1.1 (保留地址)
!
ip dhcp pool test (启动DHCP)
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.1.1
!
ip dhcp snooping vlan 1 (指定DHCP snooping防护的vlan)
ip dhcp snooping information option allow-untrusted
ip dhcp snooping database flash:snooping (指定数据库路径)
ip dhcp snooping (启动DHCP snooping)
!
!
interface GigabitEthernet1/0/1
!
interface GigabitEthernet1/0/31 (正常的端口)
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/32
!
interface GigabitEthernet1/0/42
!
interface GigabitEthernet1/0/43 (启用IP DHCP snooping端口)
switchport mode access
switchport port-security
spanning-tree portfast
ip verify source
(启用IP地址效验,此端口用户不能自己设置地址,只能通过DHCP获得,但没有mac层安全控制。
测试发现,假如g1/0/43口的用户分得地址=192.168.1.2,g1/0/42用户故意修改IP为192.168.1.2,也会影响 g1/0/43的用户,虽然g1/0/42修改IP不能访问网络,但g1/0/43会提示IP冲突,所以必须结合DAI才能保护mac层)
!
interface GigabitEthernet1/0/44
!
interface GigabitEthernet1/0/45
switchport mode access
switchport port-security
switchport port-security violation restrict
spanning-tree portfast
ip verify source port-security
(启用后此端口无法DHCP注册地址,分析原因由于port-security的安全限制无法注册MAC)
(ip verify source port-security是配合启动IP soure binding使用
ip source binding 001b.a111.5e11 vlan 1 192.168.1.200 interface Gi1/0/45,注意ip source binding和动态DHCP不能同时用)
!
interface GigabitEthernet1/0/46
!
编辑推荐
TCP/IP协议专题
TCP/IP(传输入控制地议/网际协议)是一种网络通信协议,它规范了网络上的所有通信设备,尤其是一个主机与..
下面我们主要讲解了IP dhcp snooping的内容。包括:3750配置DHCP服务,配置DHCP snooping、静态IP dhcp snooping和IP Source Guard、启动dai、DHCP设置,分配固定IP
2、静态IP dhcp snooping和IP Source Guard
clock timezone WST 8
switch 1 provision ws-c3750g-48ts
system mtu routing 1500
ip subnet-zero
!
ip dhcp snooping vlan 1 (指定DHCP snooping防护的vlan)
ip dhcp snooping information option allow-untrusted
ip dhcp snooping database flash:snooping (指定数据库路径)
ip dhcp snooping database write-delay 15
ip dhcp snooping (启动DHCP snooping)
!
!
!
interface GigabitEthernet1/0/45 (启动IP Source Guard的端口)
switchport mode access
switchport port-security
switchport port-security violation restrict
spanning-tree portfast
ip verify source port-security
(ip verify source port-security是配合启动IP soure binding使用
ip source binding 000A.E439.5F55 vlan 1 192.168.1.200 interface Gi1/0/45,说明ip source binding和动态DHCP不能同时用)
!
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
!
ip classless
ip http server
ip http secure-server
!
!
ip source binding 000A.E439.5F55 vlan 1 192.168.1.200 interface Gi1/0/45
!
control-plane
!
!
注意使用如下命令查看工作状态:
Switch#sh ip ver source
Switch#sh ip dhcp binding
Switch#sh ip dhcp snooping binding
编辑推荐
TCP/IP协议专题
TCP/IP(传输入控制地议/网际协议)是一种网络通信协议,它规范了网络上的所有通信设备,尤其是一个主机与..
下面我们主要讲解了IP dhcp snooping的内容。包括:3750配置DHCP服务,配置DHCP snooping、静态IP dhcp snooping和IP Source Guard、启动dai、DHCP设置,分配固定IP
3、启动dai
ip subnet-zero
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool test
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.1.1
lease infinite
!
ip dhcp snooping vlan 1 (需要DHCP为基础)
ip dhcp snooping information option allow-untrusted
ip dhcp snooping database flash:snooping(指定snooping 数据保存位置)
ip dhcp snooping (启动DHCP snooping)
ip arp inspection vlan 1 (启动DAI)
ip arp inspection validate src-mac dst-mac ip (检测项目)
!
!
!
interface GigabitEthernet1/0/31
switchport mode access
ip arp inspection trust (如果设置trust可以改IP,设置untrust不可以改IP,因为DAI检测)
spanning-tree portfast
!
interface GigabitEthernet1/0/32
!
nterface GigabitEthernet1/0/44
!
interface GigabitEthernet1/0/45
switchport mode access
switchport port-security
switchport port-security violation restrict
spanning-tree portfast
ip verify source port-security
!
!
Switch#sh ip arp inspection
编辑推荐
TCP/IP协议专题
TCP/IP(传输入控制地议/网际协议)是一种网络通信协议,它规范了网络上的所有通信设备,尤其是一个主机与..
下面我们主要讲解了IP dhcp snooping的内容。包括:3750配置DHCP服务,配置DHCP snooping、静态IP dhcp snooping和IP Source Guard、启动dai、DHCP设置,分配固定IP
4、DHCP设置,分配固定IP
有时我们需要控制IP分配,可以使用下面方法!
system mtu routing 1500
ip subnet-zero
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool test
host 192.168.1.18 255.255.255.0 (分给用户的IP)
client-identifier 0101.0bf5.395e.55(用户端mac)
client-name test
!
ip dhcp pool go
network 192.168.1.0 255.255.255.0 (启动网内DHCP)
!
Switch#sh ip dhcp binding
IP address Client-ID/ Lease expiration Type
Hardware address
192.168.1.18 0101.0bf5.395e.55 Infinite Manual
时间仓促,没能进行很好的测试,希望大家能够讨论,给与指正!
佟媛微
编辑推荐
TCP/IP协议专题
TCP/IP(传输入控制地议/网际协议)是一种网络通信协议,它规范了网络上的所有通信设备,尤其是一个主机与..
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者