IPSG和snooping配置记录

最新推荐文章于 2024-05-20 10:22:57 发布
最新推荐文章于 2024-05-20 10:22:57 发布
阅读量881 收藏 1
点赞数
分类专栏: 交换机路由器配置 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/womendouhenqiang/article/details/78276867
版权

具体的配置参考一下链接

http://support.huawei.com/hedex/pages/EDOC1000081668DZE0811M/06/EDOC1000081668DZE0811M/06/resources/dc/dc_cfg_ipsg_1021.html?ft=0&fe=10&hib=9.3.13.12.9.2&id=dc_cfg_ipsg_1021&text=%25u914D%25u7F6EIPSG%25u9632%25u6B62%25u4E3B%25u673A%25u79C1%25u81EA%25u66F4%25u6539IP%25u5730%25u5740%25u793A%25u4F8B%25uFF08DHCP%2520Snooping%25u52A8%25u6001%25u7ED1%25u5B9A%25uFF09&docid=EDOC1000081668

网络拓扑为三层交换机S5720下接数个S5700二层交换机,划了VLAN,三层做DHCP服务器,上面有基于全局的DHCP,分配给各个vlan的PC是动态IP,租期为1天。

昨天,将租期改为永久了,具体记录在其他帖子中。

今天,重点配置二层交换机的snooping功能,以及启用IPSG功能。

首先进入二层交换机

sys

dhcp enable

dhcp snooping enable(以上两台命令,一开始我没打,直接进入VLAN150启用snooping ,系统提示错误,需要全局开启。以上命令第二条组件依赖第一条,简而言之,都要开启)

vlan150

dhcp snooping enable

dhcp snooping trusted interface gigabitethernet 0/0/27(这个信任端口的命令一定要打,我的上行口就是27号口,具体的查看二层交换机上行口可以使用dis arp去查看)

还没完呢,接下来要在vlan150下开启ipsg功能,才能对修改IP的地址进行管控。

ip source check user-bind enable

大功告成了!这仅仅只是配置了一个交换机的一个VLAN。还需要配置改交换机的其他VLAN,以及其他交换机的所有VLAN。

配置完使用

dispaly dhcp snooping user-bind all  可以看到交换机的的动态绑定表信息

有IP MAC 端口 所属VLAN 租期等。

2021.9.14补充说明笔记

一、原本以为ipsg+snooping(地址池租期设定为“无限期”)可以达到固定IP的效果,可是并非这样(原因后续再深究,可能系客户端请求IP数量过多)。需要在核心交换机的地址池(公司的dhcp地址池是基于全局的),对终端MAC+IP进行绑定。具体操作如下(列举vlan131下的终端MAC+IP绑定):1.sys;2.ip pool vlan131(无空格,具体dis cu查看有多少IP池)3.static-bind ip-address X.X.X.X mac-address x.x.x.x(如static-bind ip-address 10.0.131.228 mac-address b081-feb4-036e)即可添加成功。

二、另外针对正在使用的IP,进行MAC+IP绑定,会提示错误(Error: The IP address's status is error),需要先释放改IP。具体操作如下:在用户视图输入reset ip pool name vlanXXX+X.X.X.X (如reset ip pool name vlan131 10.0.131.238 按Y即可)

配置完最终图片展示如下

 

womendouhenqiang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
H3C 2种型号交换机防止非法DHPCP接入配置
05-05
H3C 交换 2种型号 DHCPSnOOPING设置.H3C有2种类型的交换机,配置方法不同,通过以上文档,可以轻松解决非法DHCP问题。此文档适用于核心交换机和可网管型二层交换机
DHCP SNOOPING + IPSG配置示例.docx
11-17
2. 在接入交换机上配置 DHCP SNOOPING 功能,生成动态绑定表,记录主机的 IP 地址、MAC 地址、VLAN、接口的绑定关系。 3. 在接入交换机上为打印机或其他需要使用静态 IP 的主机创建静态绑定表,保证这类设备的安全接...
DHCP snooping + IPSG准入机制
RSQ博客
10-23 6721
文章目录1 DHCP snooping2 IPSG(IP Source Guard)2.1 配置基于VLAN的IP Source Guard2.2 配置基于接口的IP Source Guard 简化版拓扑图: 设备: 华为S2700 华为S5700 PC1 IP:10.0.0.10/24 mac:0000-1111-2222 1 DHCP snooping DHCP Snooping大致具有...
开启基于静态绑定表的IPSG功能配置
最新发布
ducanwang的博客
05-20 465
该方式适用于局域网络中主机数较少且主机被分配固定IP地址的情况。静态绑定表创建后,IPSG并未生效,只有在指定接口或在指定VLAN上使能IPSG后才生效。缺省情况下,全局未使能DHCP Snooping功能。缺省情况下,全局未使能DHCP功能。缺省情况下,未开启IPSG功能。缺省情况下,不存在静态绑定表。缺省情况下,接口为未信任状态。
配置snoopingipsg遇到的特定IP的情况处理一(三层排除二层绑定)
womendouhenqiang的博客
10-19 1140
最近配置snoopingipsg的任务已经完成了,今天遇到一台PC需要特定的IP,情况很特殊:因为他的电脑系统出现故障一段时间了,导致他不能从DHCP服务器获取IP,于是最初他设定了固定IP,他的虚拟机里面也对应的设置了固定IP。讲了一通理由(虚拟机的工程、共享的问题),总之就是不能再改IP了。 后面研究了会,具体的做法是:首先,在三层交换机的DHCP地址池中将这两个IP排除掉,不让地址池分配
dhcp snooping+IPSG的一些理解
weixin_34007291的博客
10-29 1023
dhcp snooping是一种dhcp安全特性,能够过滤来自网络中主机或其他设备的非信任dhcp报文,通过建立并维护dhcp binding表. DHCP snooping 建立DHCP binding表,其中包括客户端IP地址、MAC地址、端口号、VLAN编号、租用和绑定类型等信息。交换机支持在每个VLAN基础上启用DHCP snooping特性。通过这种特性,交换机能...
IPSG应用在网络中的位置
womendouhenqiang的博客
10-18 477
配置IPSG防止主机私自更改IP地址上网(静态绑定).docx
09-06
配置 IPSG 防止主机私自更改 IP 地址上网(静态绑定) IPSG(IP Source Guard)是基于二层接口的源 IP 地址过滤技术,可以防止内网用户修改 IP 地址,确保非授权主机不能通过设置 IP 地址来访问网络或攻击网络。 ...
华为 IPSG技术白皮书
08-28
华为 IPSG技术白皮书
华为交换机配置IPSG限制非法主机访问内网示例
12-25
华为交换机配置IPSG限制非法主机访问内网示例 本文将详细介绍华为交换机配置IPSG限制非法主机访问内网的示例。IPSG(IP Source Guard)是一种基于二层接口的源IP地址过滤技术,利用交换机上的绑定表对IP报文进行...
配置IPSG防止DHCP动态主机私自更改IP地址示例.pdf
06-18
配置IPSG防止DHCP动态主机私自更改IP地址示例.pdf
华为H3C路由交换&安全配置学习文档
11-11
H3C路由交换&安全配置学习文档 H3C_MSR典型配置实例v2.0.chm H3C_S12500系列路由交换机_典型配置举例.chm 中低端路由器典型配置实例V1.8.chm 低端交换机典型配置实例V1.50.exe 安全产品配置维护手册.exe 路由器故障处理案例集-20090224-C.chm 防火墙典型配置案例.chm
华三的三层交换机配置资料和命令大全
04-20
华三的三层交换机配置资料和命令大全。搜集了放在里面。可以看看。
配置IPSG禁止使用静态IP接入
夜邢的博客
07-17 1053
配置IPSG禁止使用静态IP接入 禁止用户配置静态IP,仅允许DHCP上网
配置IPSG防止主机私自更改IP地址上网(静态绑定)
m0_60444349的博客
06-18 7183
一、IPSG 功能简介IPSG:IP Source Guard,IP源防攻击是一种基于二层接口的源IP地址过滤技术。它能够防止内网用户修改IP地址(防止恶意主机通过伪造合法主机的IP地址来获取合法主机的网络访问权限或敏感信息等),还确保非授权主机(在静态或动态绑定表中没有相关记录的主机表记录信息)不能通过设置IP地址来访问网络或攻击网络,能有效防止IP地址的私自更改。二、绑定表IPSG参照二个绑定表项来检查接入主机的合法性。分为静态绑定表和动态绑定表。静态绑定表通过user-bind命令手动在网络设备上进行
华为交换机DHCP snooping
热门推荐
seaship的博客
01-11 1万+
配置思路 1.使能DHCP Snooping功能。 2.配置接口的信任状态,以保证客户端从合法的服务器获取IP地址。 3.使能ARP与DHCPSnooping的联动功能,保证DHCP用户在异常下线时实时更新绑定表。 4.使能根据DHCP Snooping绑定表生成接口的静态MAC表项功能,以防止非DHCP用户攻击。 5.使能对DHCP报文进行绑定表匹配检查的功能,防止仿冒DHCP报文攻击。 6.配...
配置IPSG防止主机私自更改IP地址上网(动态绑定)
m0_60444349的博客
09-29 1922
另外配置ARP表项严格学习(只有本设备主动发送的请求报文的应答报文才能触发本设备学习ARP)可以有效防止网络中的ARP欺骗(因学习伪造的ARP报文而错误更新设备ARP表项,造成合法用户无法正常通信)或ARP攻击(因处理大量的ARP报文导致CPU资源负荷过重,ARP表项资源被耗尽)、ARP表项固化(网关防护,有效防止中间人欺骗,需在全局或VLAN视图下使能此功能)、ARP MISS消息限速、禁止接口ARP学习等等。所以,为了避免IP地址冲突,可以在部署IPSG的同时配置DAI。后,接打印机设备的无法连通。
华三ipsg技术局域网终端准入控制经典案例,不用SDN等控制设备。
IT技术
08-06 1505
需求: 1、全部接入都要控制,非法用户不能; 2、用户不装客户端软件,不用账号密码认证; 3、各vlan的人员可以在学校漫游,vlan不变。 4、终端与人员进行关联 设备选型: 核心:华三7510 接入:华三5130或5560 接入控制软件:imc平台、uam组件。 具体规划: 1、全部用mac认证,用mac作为用户名和密码,前期可以设计一个guest vlan,让没有认证的客户端进来先到这个vlan,然后再记录下这些客户端的mac地址,再入到合法的vlan,这样就不用提前去找员工收集mac地址表了。 2
IPSG绑定表
weixin_46041124的博客
02-22 691
IPSG是基于绑定表(DHCP Snooping动态绑定表和静态绑定表)对IP报文进行匹配检查。绑定表是IPSG进行IP报文检查的基础。当设备在转发IP报文时,将此IP报文中的。源IP、源MAC(Media Access Control)、接口、VLAN(Virtual Local Area Network)信息和绑定表的信息进行比较。,如果信息匹配,表明是合法用户,则允许此报文正常转发,否则认为是攻击报文,并丢弃该IP报文。
packet tracer DHCP snooping 怎么和IPSG配置
05-26
DHCP SnoopingIPSG都是网络安全中的重要功能,它们可以一起使用以增强网络安全性。 DHCP Snooping是一种技术,用于防止恶意DHCP服务器攻击网络。它通过在交换机上捕获和分析DHCP报文来实现这一点。DHCP Snooping记录每个端口连接的设备的MAC地址和IP地址,然后将其与DHCP响应消息中的源MAC地址进行比较,以确保DHCP响应消息来自于授权的DHCP服务器。如果DHCP响应消息来自于未授权的DHCP服务器,DHCP Snooping会将该消息丢弃。 IPSG(IP Source Guard)是一种技术,用于防止IP地址欺骗攻击。它通过检查进入网络的数据包的源IP地址和端口来实现这一点。IPSG记录每个端口连接的设备的MAC地址和IP地址,然后将其与进入该端口的数据包的源IP地址进行比较,以确保数据包来自于授权的设备。如果数据包来自于未授权的设备,IPSG会将其丢弃。 为了将DHCP SnoopingIPSG配置在同一个网络中,您需要按照以下步骤进行操作: 1. 首先,在交换机上启用DHCP Snooping功能,并为每个端口指定正确的DHCP服务器。 2. 然后,在交换机上启用IPSG功能,并为每个端口指定正确的设备。 3. 最后,您需要在交换机上配置ACL(访问控制列表),以允许授权的设备通过IPSG,并阻止未授权的设备通过IPSG。 请注意,DHCP SnoopingIPSG都需要正确配置才能正常工作,并且需要不断更新以保持网络安全。如果您不确定如何正确配置这些功能,请咨询网络安全专家或网络供应商的技术支持人员。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值