在企业中,使用dhcp snooping + IPSG方式来防范可能的非法接入是非常常见的方法~ 配置简单,实用性强,现简单介绍原理和配置
IPSG利用绑定表(MAC,IP,所属VLAN,入接口的绑定关系)去匹配检查二层接口上收到的IP报文,只有匹配绑定表的报文才允许通过,其他报文被丢弃
绑定表生成后,IPSG向指定的接口或VLAN下发ACL,已匹配项来判断是否转发报文,只有满足绑定表的报文才会被允许通过,当绑定表信息变化时,设备会重新下发ACL,缺省情况下,如果没有绑定表的情况下使能了IPSG,设备会允许IP协议报文(如STP协议报文,OSPF报文等)通过,但会拒绝所有数据报文
配置关键命令
[s1]dhcp snooping enable 使能dhcp snooping功能
[s1-GigabitEthernet0/0/1]ip source check user-bind enable 使能ip绑定表检查
[s1-GigabitEthernet0/0/1]arp anti-attack check user-bind enable 防止ARP欺骗***,通常需一起配上
[s1]user-bind statrs ip-address 192.168.1.1 mac-address xxxx-xxxx-xxxx interface GigabitEthernet 0/0/1 配置绑定关系
绑定关系非常灵活 可以只绑定IP,MAC,接口
或则让IP和MAC绑定或接口绑定
也可以同时绑定IP MAC 接口例子为华为设备,其他厂商也有相关的功能
一些实用的技术 ~