防止私自接交换机_防止私接家用路由器干扰DHCP功能,禁止用户手动设置IP地址-肖哥...
如果想禁止私接家用路由器只能采用准入控制+MAC认证技术(802.1x认证、端口安全等)来实现,但是很多场景需要允许家用路由器接入企业网络(例如高校老师办公室想通过wifi上网)。
此时如果某用户将家用路由器的LAN口接到网络那么DHCP就会受到干扰,因为家用路由器也能够提供IP地址,此时可以配置DHCP snooping来防御。
还有一个问题就是用户会私自配置IP地址(在高校的实验室经常遇到),私自配置的IP地址有可能会引发IP地址冲突。此时可以配置IP源防护来强制用户自动获取IP,否则用户手动配置的IP无法上网。(当然部分企业采用微软的AD域环境在系统层面实现强制用户自动获取IP地址)
更多更详细的讲解-请检索肖哥文章和视频:肖哥网络技术
Dhcp snooping -防止非法的dhcp 服务器
接入层交换机:( sw3和sw2 类似)
sw2:
dhcp enable
dhcp snooping enable
vlan 8
dhcp snooping enable
int e0/0/2 将上联口设置为信任接口(默认所有的接口都是非信任口)
dhcp snooping trusted
dhcp 安全防护
禁止用户手动配置静态ip地址,防止ip地址冲突
利用dhcp snooping 建立ip-mac-接口 的检查映射表项(适合企业用户采用动态ip获取的企业)
所有接入交换机连接用户的接口:
int e0/0/1 (连接用户的接口)
ip source check user-bind enable 开启ip源地址检查功能(需要上面的dhcp snooping 加持)
此时如果用户手动配置静态地址,由于接口没有映射,此时交换机会直接将报文丢弃。(模拟器bug ,不支持)使用user-bind static 静态建立ip-mac-接口 检查表项(这种方法适用于特殊用户必须手动配置ip地址的情况,例如某领导计算机、某共享服务器、打印机 、网络摄像头 等):
user-bind static ip-address 192.168.31.7 mac-address 0021-cccf-1d28 interface Ethernet0/0/2
interface Ethernet0/0/2
ip source check user-bind enable
即可接在e0/0/2口的PC只能是31.7 mac是1d28 才可以 通过e0/0/2口 若ip和mac 不匹配则报文将被直接丢弃 (模拟器bug 不支持)。
查看用户手动静态的绑定表项s2700 EI (V100R005)
查看用户手动静态的绑定表项-模拟器 s3700 (V200R001)
将dhcp snooping 动态绑定表项 保存到flash 防止重启丢失(可选配置)
dhcp snooping user-bind autosave flash:/backup.tbl
防止私自接交换机_防止私接家用路由器干扰DHCP功能,禁止用户手动设置IP地址-肖哥...相关推荐
- 防止私自接交换机_【交换机】交换机如何配置防止用户手动私设IP
一.组网要求 1)DHCP--二层交换机--客户机,DHCP服务器在三层交换机上,要求客户机只能通过DHCP获取地址上网,手动配置地址不允许上网. 2)只允许192.168.1.2 这台电脑手动配置地 ...
- 关于主机的思维导图_几张思维导图,让你清楚的知道ip地址怎么回事?
网络工程中,ip地址是必须要了解的内容,今天我们用几张思维导图来给大家详细讲解IP地址. 一.什么是IP地址 在生活中我们使用具有上网功能的电子设备都有IP地址,就跟每个人都有自己的名字一样.IP地址 ...
- ipv4地址是几位二进制数_几张思维导图,让你清楚的知道ip地址怎么回事?
网络工程中,ip地址是必须要了解的内容,今天我们用几张思维导图来给大家详细讲解IP地址. 一.什么是IP地址 在生活中我们使用具有上网功能的电子设备都有IP地址,就跟每个人都有自己的名字一样.IP地址 ...
- request获取mac地址_【Go】获取用户真实的ip地址
原文链接:https://blog.thinkeridea.com/201903/go/get_client_ip.html 用户请求到达提供服务的服务器中间有很多的环节,导致服务获取用户真实的 ip ...
- 防止私自接交换机_【s5700交换机】防止用户私设IP
设备类型:华为S5700系列交换机 应用场景:在不靠vlan的情况下,实现端口IP隔离,防止接入用户私自使用未分配的IP 以下方法是 IP+MAC+端口 的绑定,这样可以使未绑定(分配)的IP不被非法 ...
- 4g网络设置dns地址_大型网络监控如何设置ip地址?如何选择交换机?
对于监控项目来说,很多故障的原因都是跟ip地址设置不当有关,如ip冲突,或者有几路监控图像没有显示等,都是跟ip有一定关联,合理的分配ip地址十分重要,之前我们有发布过相关的内容,本期我们再来对大型监 ...
- espn配置路由_在用路由器WDS桥接或级联组网时如何设置IP和MAC地址的绑定
电脑的MAC地址是固定的,但是IP地址可以进行设置.改动.如果终端自行任意修改IP地址,可能会导致局域网IP地址冲突,影响正常使用.若终端安装ARP(IP和MAC的匹配关系)攻击软件,发出欺骗信息,也 ...
- c++引用另一个类的方法_转:关于A类,B类,C类IP地址的网段和主机数的计算方法...
转:关于A类,B类,C类IP地址的网段和主机数的计算方法 关于A类,B类,C类IP地址的网段和主机数的计算方法 IP地址是一个32位的二进制数,由四个八位字段组成.每个IP地址包括两部分:一部分为网络 ...
- 路由器wan口ip地址_如何在没有浏览器的情况下查找外部或WAN IP地址?
路由器wan口ip地址 Sometimes I need external IP address of system I am logged on. The general solution is t ...
最新文章
- html网页文件的主体标记,HTML的填空题:1.HTML文件中网页文件的主体标记是_________,标记页面标题的标记是_____________。如题 谢...
- MVC验证10-到底用哪种方式实现客户端服务端双重异步验证
- 阿里云高级技术专家空见: CDN的数据化之路
- Vue+Openlayers中实现地图旋转
- Catalan Numbers 卡特兰数
- spring cloud sleuth在spring中创建span
- 女儿还有三个月就高考了,最近压力大,特别敏感,容易发火怎么办?
- jdba访问mysql_Java中JDBC操作数据库的步骤
- 面试技巧(一)〔参加笔试、面试的技巧〕
- opencv findcontour查找最大的内轮廓
- Nagios利用NRPE监控Linux主机
- 小学python编程_小学生都开始学的Python编程到底是什么?
- 读《创业36条军规》(三)学先进 傍大款 走正道
- 10月集训test3
- 小数点化分数的过程_怎么把小数化成分数
- Markdown里面的序列图
- 自编码器,变分自编码器和生成对抗网络异同
- 杰理之外挂 FLASH 使用方法与注意点【篇】
- 25. OP-TEE驱动篇----驱动编译,加载和初始化(二)
- 环境大数据应用“含苞待放”?