红米手机|谁再擅自修改IP地址,我让他直接断网,连局域网都不通

红米手机|谁再擅自修改IP地址,我让他直接断网,连局域网都不通

文章图片

红米手机|谁再擅自修改IP地址,我让他直接断网,连局域网都不通

文章图片


你的网络是不是有过这样的问题:明明配置了DHCP , 还总有IP冲突 , 排查非常费劲 , 而且吃力不讨好 , 碰到素质差点的用户 , 免不了还被反怼几句 。
对付这样的人 , 有三个方法:

  1. 在域控上下发组策略 , 禁止用户修改IP地址;
  2. 在交换机上配置IPSG , 他倒是能改IP地址 , 但是改了之后 , 不但上不了外网 , 就连内网都不通了 , 那他就只能自己改回来了 , 免去你排查之苦 , 就算他不改回来 , 对网络也不会产生任何影响 。
3、行政手段 , 一经发现私自修改IP地址 , 直接罚款 , 从工资里面扣那种 。

行政罚款也到不了IT外包的手里 , 咱们还是用点技术手段吧 , 那就IPSG走起 。
一、原理简述:IPSG是IP Source Guard的简称 。 IPSG可以防范针对源IP地址进行欺骗的攻击行为 。
随着网络规模越来越大 , 基于源IP的攻击也逐渐增多 。 所谓的攻击 , 不一定是恶意的 , 他也许只是想获得上网权限而擅自修改IP地址 , 但是这样的行为 , 已经对网络造成了攻击 , 甚至有些人 , 把自己的IP地址直接改成了网关IP , 把整个网络都搞崩溃了;
二、网络架构及配置方法1、废话不多说 , 先上拓扑图;

2、配置要求:
如上图所示 , 内网有台服务器 , 需要配置静态IP , 并且在接入交换机内静态绑定;PC1和PC2配置为自动获取IP地址 , 并且需要防止用户修改IP地址接入网络;核心交换机与接入交换机之间的接口配置为trunk模式 , 并且放行所有VLAN;
3、配置过程:
(1)核心交换机的配置:
<Huawei>sys
Enter system view return user view with Ctrl+Z.
[Huawei
sys core    //命名交换机
[core
vlan 10     //创建vlan10
[core-vlan10

[core-vlan10
q
[core
dhcp en     //开启dhcp
[core
ip pool vlan10     //定义vlan10的地址池
[core-ip-pool-vlan10
net 192.168.10.0 mask 24     //在地址池中声明网络
[core-ip-pool-vlan10
gateway-list 192.168.10.1    //在地址池中声明网关
[core-ip-pool-vlan10
dns-list 192.168.10.11    //在地址池中声明DNS服务器
[core-ip-pool-vlan10
excluded-ip-address 192.168.10.2 192.168.10.20    //在地址池中声保留不分配出去的IP地址
[core-ip-pool-vlan10
int vlan 10
[core-Vlanif10
ip add 192.168.10.1 24    //配置vlan的IP地址
[core-Vlanif10
dhcp sele glo    //选择全局的地址池给DHCP客户端使用
[core-Vlanif10
int g0/0/1
[core-GigabitEthernet0/0/1
p l t    //1口配置为trunk模式
[core-GigabitEthernet0/0/1
p t a v a    //允许所有vlan通过
(2)接入交换机的配置:
<Huawei>sys
[Huawei
sys SW1
[SW1
vlan 10
[SW1-vlan10
int g0/0/4
[SW1-GigabitEthernet0/0/4
p l t
[SW1-GigabitEthernet0/0/4
p t a v a
[SW1-GigabitEthernet0/0/4
q
[SW1
p g g0/0/1 to g0/0/3   //创建端口组 , 组成员为1-3口
[SW1-port-group
p l a     //1-3口配置为access模式
[SW1-port-group
p d v 10    //1-3口access vlan10
[SW1-port-group
q
[SW1
dhcp en
[SW1
dhcp snooping en    //启用全局DHCP Snooping功能
[SW1
vlan 10
[SW1-vlan10
dhcp sn
[SW1-vlan10
dhcp snooping en    //启用VLAN 10下的DHCP Snooping功能
[SW1-vlan10
dhcp snooping trusted int g0/0/4    //配置4口为DHCP信任口
[SW1-vlan10
q
[SW1
user-bind static ip-address 192.168.10.11 mac-address 5489-98F9-77D6 interface g0/0/3 vlan 10    //创建服务器的静态绑定表项
[SW1
vlan 10
[SW1-vlan10
ip source check user-bind en    //启用IPSG功能
[SW1-vlan10
q
配置完成 , 来查看DHCP绑定是否正确:dis dhcp snooping user-bind all

再查看静态绑定是否正确:dis dhcp static user-bind all

经过以上配置 , PC1和PC2使用DHCP服务器动态分配的IP地址可以正常访问网络 , 如果将IP地址更改为其他的静态IP地址 , 则无法访问网络 。
同理 , 服务器修改为其他IP地址后 , 也是无法正常通讯的 。