DHCP SNOOPING應(yīng)用

qunlee

LAN中因為非法用戶自己修改自己的IP地址以及MAC地址造成的IP地址沖突而致使不少用戶上不了網(wǎng)，這種狀況大家也許都遇到過，如果網(wǎng)絡(luò)越大，遇到的就會越多（當(dāng)然PPPOE除外）。一般來說我們可以在路由交換設(shè)備上啟用DHCP SNOOPING功能，限制非法用戶來手工修改，即使其修改自己的IP地址與MAC地址為合法信息也無法正常上網(wǎng)，讓普通用戶必須使用自動獲得IP地址的方法來上網(wǎng)。
以下是一個簡單的例子。
ip dhcp snooping vlan 180-181
// 對哪些VLAN 進行限制
ip dhcp snooping
ip arp inspection vlan 180-181
ip arp inspection validate src-mac dst-mac ip

errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause l2ptguard
errdisable recovery cause psecure-violation
errdisable recovery cause gbic-invalid
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause unicast-flood
errdisable recovery cause vmps
errdisable recovery cause arp-inspection
errdisable recovery interval 30
spanning-tree extend system-id
!
!

interface GigabitEthernet2/1
// 對該端口接入的用戶進行限制，可以下聯(lián)交換機
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100
   
interface GigabitEthernet2/2
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100
!
interface GigabitEthernet2/3
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100
!
interface GigabitEthernet2/4
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100
--More--

attention:
目的用來防止基于內(nèi)部的2層攻擊,同一VLAN防止私自建立DHCP SERVER
CISCO　IOS版本至少應(yīng)該是12.1(19)以上
DHCP Snooping
DAI，Dynamic ARP Inspection
IP Source Guard
DHCP Interface Tracker (Option 82)

如果有的IP需要固定，也可以有這種方法解決，將需要固定的IP另起一個Vlan，如果需要固定的計算機不多，可以針對每臺計算機啟一個32位掩碼的VLAN，一個為計算機IP，一個為網(wǎng)關(guān)IP。


本文來自ChinaUnix博客，如果查看原文請點：http://blog.chinaunix.net/u/13492/showart_276150.html