交换机绑定客户端IP+MAC+端口,主要是为了防止别人没有授权的条件下,随意加入到网络当中操作,为了防止这种不安全的行为的出现,为了我们网络的安全,可以绑定授权的IP以及MAC,这样一来就不会出现IP地址被盗用出现网络安全威胁的情况。
DHCP Snooping是 DHCP 的一种安全特性,主要应用在 交换机 上,作用是屏蔽接入网络中的非法的 DHCP 服务器。即开启 DHCP Snooping 功能后,网络中的客户端只有从管理员指定的 DHCP 服务器获取 IP 地址。启用 DHCP Snooping 功能后,必须将 交换机上的端口设置为信任(Trust)和非信任(Untrust)状态,交换机 只转发信任端口的 DHCP OFFER/ACK/NAK报文,丢弃非信任端口的 DHCP OFFER/ACK/NAK 报文,从而达到阻断非法 DHCP 服务器的目的。建议将连接 DHCP 服务器的端口设置为信任端口,其他端口设置为非信任端口
交换机绑定客户端IP+MAC+端口案例如上图,相关设备ip分配如上图。非法用户client2禁止上网及屏蔽访问其他设备。
核心交换机配置:
配置vlan:
vlan batch 10 20 30 40
开启dhcp并屏蔽其他dhcp服务器:
dhcp enable
dhcp snooping enable
绑定ip+mac+端口
user-bind static ip-address 192.168.10.2 mac-address 5489-98f5-6740 interface Gig
abitEthernet0/0/1