【锐捷交换】接入交换机配置DHCP Snooping + IP Source guard + ARP-check

已于 2023-04-13 08:36:34 修改
阅读量3k 收藏 20
点赞数 2
分类专栏: 网络 锐捷 文章标签: 网络
于 2022-07-04 15:24:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24122661/article/details/125600918
版权
网络 同时被 2 个专栏收录
29 篇文章 8 订阅
订阅专栏
锐捷
28 篇文章 20 订阅
订阅专栏

功能简介

DHCP Snooping + IP Source guard + ARP-check防ARP欺骗方案:在用户PC动态获取IP地址的过程中,通过接入层交换机的DHCP Snooping功能将用户DHCP获取到的,正确的IP与MAC信息记录到交换机的DHCP Snooping软件表;然后通过IP Source guard功能将DHCP Snooping表的每个终端的IP&MAC信息写入交换机的硬件表项(类似端口安全的绑定);最后使用ARP-check功能校验所有ARP报文的正确性。如果合法用户获取IP地址后试图进行ARP欺骗,或者是非法用户私自配置静态的IP地址,他们的ARP校验都将失败,这样的用户将无法使用网络。    

配置方法

开启DHCP Snooping并将连接DHCP服务器的端口设为信任:
Ruijie>enable     
Ruijie#configure terminal 
Ruijie(config)#ip dhcp snooping     
Ruijie(config)#interface gigabitEthernet 0/24
Ruijie(config-if-GigabitEthernet 0/24)#ip dhcp snooping trust
Ruijie(config-if-GigabitEthernet 0/24)#exit

连接终端接口开启IP Source Guard:
Ruijie(config)#interface range gigabitEthernet 0/1-16
Ruijie(config-if-range)#ip verify source port-security 
Ruijie(config-if-range)#

连接终端接口开启arp-check:
Ruijie(config)#interface range gigabitEthernet 0/1-16
Ruijie(config-if-range)#arp-check 
Ruijie(config-if-range)#end
Ruijie#write

DHCP Snooping + IP Source guard + ARP-check配置完成

CyclingLife
关注
  • 2
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
锐捷交换机——DHCP Snooping
君逍遥o
10-09 1758
接入交换机为S2652G交换机,核心交换机是S5750,S2652G交换机下联PC使用动态DHCP获取IP地址,为了防止内网有用户接入非法dhcp服务器,如自带的无线小路由器等,导致正常用户获取到错误的地址而上不了网或地址冲突,要实施DHCP SnoopingDHCP监听)功能。
关于IP-MAC地址绑定的交换机设置
07-31
关于IP-MAC地址绑定的交换机设置关于IP-MAC地址绑定的交换机设置关于IP-MAC地址绑定的交换机设置关于IP-MAC地址绑定的交换机设置关于IP-MAC地址绑定的交换机设置关于IP-MAC地址绑定的交换机设置关于IP-MAC地址绑定的交换机设置关于IP-MAC地址绑定的交换机设置关于IP-MAC地址绑定的交换机设置关于IP-MAC地址绑定的交换机设置关于IP-MAC地址绑定的交换机设置关于IP-MAC地址绑定的交换机设置关于IP-MAC地址绑定的交换机设置关于IP-MAC地址绑定的交换机设置关于IP-MAC地址绑定的交换机设置关于IP-MAC地址绑定的交换机设置关于IP-MAC地址绑定的交换机设置
H3C ARP防护典型配置
最新发布
normanhere的博客
05-10 1042
名称:ARP主动确认功能解释:ARP的主动确认功能主要应用于网关设备上,防止攻击者仿冒用户欺骗网关设备。ARP主动确认功能分为非严格模式和严格模式,这两种模式的实现如下:· 配置非严格模式的ARP主动确认功能时,处理方式如下:¡ 收到目标IP地址为自己的ARP请求报文时,设备会发送ARP应答报文,但先不建立对应的表项。同时,设备立即向ARP请求报文的发送端IP地址发送ARP请求,在一个探测周期内如果收到发送端IP地址对应的设备回复的ARP应答报文,则建立ARP表项。
锐捷(八)DHCP Snooping配置
weixin_51338719的博客
02-01 2260
dhcp snooping工作原理和作用:开启dhcp snooping;获取IP地址。1.dhcp snooping 工作原理:针对某个vlan开启dhcp snooping。.作用:保证客户端从合法的服务器处获取IP地址。记录客户端IP地址与Mac地址的对应关系。
锐捷交换机——全局IP+MAC绑定
君逍遥o
10-11 3894
利用接入设备实现接入用户,只有绑定的ip+MAC才可以与外网通信,没有绑定的不能通信。
锐捷交换DHCP snooping
weixin_55444377的博客
12-07 1093
使用ARP-check功能校验所有ARP报文的正确性。如果合法用户获取IP地址后试图进行ARP欺骗,或者是非法用户私自配置静态的IP地址,他们的ARP校验都将失败,这样的用户将无法使用网络。通过IP Source guard功能将DHCP Snooping表的每个终端的IP&MAC信息写入交换机的硬件表项(类似端口安全的绑定);DHCP Snooping 阻止非法 DHCP 服务器为局域网用户提供 IP 地址。DHCP Snooping 阻止非法 DHCP 服务器为局域网用户提供 IP 地址。
锐捷DHCP配置
qq_45371244的博客
03-20 3747
Ruijie(config-if-VLAN 1)#ip address 192.168.10.1 255.255.255.0----à配置核心IP,也就是用户的网关地址。Ruijie(dhcp-config)#default-router 192.168.10.1----à配置缺省网关。Ruijie(dhcp-config)#dns-server 8.8.8.8----à配置DNS。Ruijie(config-if-VLAN 1)#exit----à退回到全局模式。缺省情况下,该服务关闭。
接入交换机配置模板-锐捷S2900
03-21
接入交换机配置模板-锐捷S2900
简单的锐捷交换机配置脚本-三层+接入的配置
05-11
本教程将详细解释如何配置锐捷交换机,特别是针对“三层交换机”和“接入交换机”的基本配置,以便实现VLAN划分、Web访问、账户认证、管理IP设置、DHCP服务以及三层接口等功能。 首先,我们来看“三层交换机”的...
锐捷交换机产品典型配置案例集V2.0
07-30
本文档适用于锐捷以下交换机系列产品: S20系列(包括RG-S2026F、RG-S2026G、RG-S2052G) S23系列(包括RG-S2328G、RG-S2352G) S2300G-P系列(包括RG-S2312G-P、RG-S2320G-P) S26系列(包括RG-S2628G、RG-S2652G...
等保测评-华为、华三、锐捷路由、交换设备配置
08-04
等保测评相关路由、交换机设备配置
锐捷POE交换机配置实例
05-03
锐捷POE交换机配置实例 本文档将详细介绍锐捷POE交换机的配置实例,包括基本配置、安全设置、VLAN配置、路由配置等方面的知识点。 基本配置 在配置锐捷POE交换机之前,需要首先设置管理员用户名和密码。这里使用...
锐捷端口安全与全局IP+MAC地址绑定实验配置
m0_49864110的博客
11-21 9474
端口安全分为IP+MAC绑定、仅IP绑定、仅MAC绑定配置端口安全是注意事项如果设置了IP+MAC绑定或者仅IP绑定,该交换机还会动态学习下联用户的MAC地址如果要让IP+MAC绑定或者仅IP绑定的用户生效,需要先让端口安全学习到用户的MAC地址,负责绑定不生效交换机如果某些端口设置了端口安全(端口MAC绑定),但是某些端口没有设置为端口安全,则绑定此mac的设备只可以在设置了端口安全的那个端口上网例如:1口设置了端口MAC绑定的用户为PC1,则PC1只可以在1口上网,在其它端口无法上网。
锐捷RSR系列路由器_接入路由器交换模块配置_IP+MAC绑定
君逍遥o
08-23 2974
IP/MAC地址绑定是指路由器将与其直接相连的网络上的主机的MAC 地址和 IP 地址进行捆绑记录,只有指定的 MAC 地址才可以用相应的 IP 地址。这种机制可以防止被绑定的主机的IP地址不被假冒。
锐捷交换机——MAC地址绑定、IP source guard
君逍遥o
10-12 4044
用户网关在核心交换机上,核心交换机创建DHCP Server,接入交换机下联PC使用动态DHCP获取IP地址,为了防止内网用户私设IP,需要实施IP Source Guard功能,对于私设IP地址的用户不让访问外网。
锐捷学习笔记-17(DHCP snooping
zhaoxx22的博客
07-20 408
clear ip dhcp snooping binding 1111.2222.3333 /命令删除dhcp snooping的表项。ip dhcp snooping /开启DHCP snooping的功能。ip dhcp snooping check-giaddr /窥探中继DHCP报文的命令。锐捷DHCP Snooping的配置命令。
锐捷交换机——DHCP Server(DHCP服务器)
君逍遥o
10-09 5655
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议),基于Client/Server工作模式,DHCP 服务器为需要动态获取 IP地址的客户端分配 IP地址及网关、DNS等其它参数。
锐捷学习笔记-24(ARP Check
zhaoxx22的博客
07-21 533
注:PC-A和PC-B通过DHCP获取IP地址,PC-C手工配置IP地址 /IP Source Guard锐捷ARP的配置命令。
行为管理(锐捷交换篇)
rjxxer的博客
12-13 2474
锐捷交换机,行为管理配置。
锐捷交换机如何配置DHCP snooping
05-26
锐捷交换机配置 DHCP Snooping 的具体步骤如下: 1. 开启 DHCP Snooping 功能 ``` enable dhcp snooping ``` 2. 配置 DHCP Snooping 信任端口 ``` interface <interface> dhcp snooping trust ``` 3. 配置 DHCP Snooping 选项 ``` dhcp snooping option82 ``` 4. 配置 DHCP Snooping 绑定表 ``` dhcp snooping binding-table vlan <vlan-id> mac <mac-address> ip <ip-address> interface <interface> ``` 其中,<interface> 是指需要开启 DHCP Snooping 功能的接口,<vlan-id> 是指对应的 VLAN ID,<mac-address> 是指客户端的 MAC 地址,<ip-address> 是指客户端的 IP 地址。 以上是锐捷交换机配置 DHCP Snooping 的基本步骤,具体可以根据实际情况进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值