交换机如何防止用户私设静态IP地址?

1,问题描述

交换机如何防止用户私设静态IP地址?

2,解决方案

防止用户私设静态IP地址,可以达到同一接口下只有与绑定的IP+MAC相同的报文或者是合法的DHCP自动获取IP地址的报文才能通过,其它报文不能通过。

华为交换机虽然没有H3C交换机的am user-bind命令,但是通过DHCP Snooping功能也可以实现IP+MAC+端口绑定以防止用户私设静态IP地址。例如,若要求端口Ethernet0/0/1下除了静态IP地址为1.1.1.2、MAC地址为001c-2309-9aa7对应的用户外,其它所有静态IP用户都不能上网。配置如下:

1. 配置设备的DHCP Snooping功能

# 使能全局DHCP Snooping功能。

[HUAWEI] dhcp snooping enable

# 配置用户侧接口所属的VLAN。

[HUAWEI] vlan 100

[HUAWEI-vlan100] quit

[HUAWEI] interface ethernet 0/0/1

[HUAWEI-Ethernet0/0/1] port default vlan 100

[HUAWEI-Ethernet0/0/1] quit

# 使能VLAN下的DHCP Snooping功能。

[HUAWEI] vlan 100

[HUAWEI-vlan100] dhcp snooping enable

2. 配置在用户侧接口进行报文检查

[HUAWEI] interface ethernet 0/0/1

[HUAWEI-Ethernet0/0/1] arp anti-attack check user-bind enable

[HUAWEI-Ethernet0/0/1] ip source check user-bind enable

[HUAWEI-Ethernet0/0/1] quit

3. 配置静态绑定表项

[HUAWEI] user-bind static ip-address 1.1.1.2 mac-address 001c-2309-9aa7 interface ethernet 0/0/1

说明:

静态IP用户才需要配置静态绑定表项,如果是DHCP自动获取IP地址的用户就不需要再绑定静态IP。

发表评论

电子邮件地址不会被公开。 必填项已用*标注