文章图片
文章图片
你的网络是不是有过这样的问题:明明配置了DHCP , 还总有IP冲突 , 排查非常费劲 , 而且吃力不讨好 , 碰到素质差点的用户 , 免不了还被反怼几句 。
对付这样的人 , 有三个方法:
- 在域控上下发组策略 , 禁止用户修改IP地址;
- 在交换机上配置IPSG , 他倒是能改IP地址 , 但是改了之后 , 不但上不了外网 , 就连内网都不通了 , 那他就只能自己改回来了 , 免去你排查之苦 , 就算他不改回来 , 对网络也不会产生任何影响 。
行政罚款也到不了IT外包的手里 , 咱们还是用点技术手段吧 , 那就IPSG走起 。
一、原理简述:IPSG是IP Source Guard的简称 。 IPSG可以防范针对源IP地址进行欺骗的攻击行为 。
随着网络规模越来越大 , 基于源IP的攻击也逐渐增多 。 所谓的攻击 , 不一定是恶意的 , 他也许只是想获得上网权限而擅自修改IP地址 , 但是这样的行为 , 已经对网络造成了攻击 , 甚至有些人 , 把自己的IP地址直接改成了网关IP , 把整个网络都搞崩溃了;
二、网络架构及配置方法1、废话不多说 , 先上拓扑图;
2、配置要求:
如上图所示 , 内网有台服务器 , 需要配置静态IP , 并且在接入交换机内静态绑定;PC1和PC2配置为自动获取IP地址 , 并且需要防止用户修改IP地址接入网络;核心交换机与接入交换机之间的接口配置为trunk模式 , 并且放行所有VLAN;
3、配置过程:
(1)核心交换机的配置:
<Huawei>sys
Enter system view return user view with Ctrl+Z.
[Huawei
sys core //命名交换机
[core
vlan 10 //创建vlan10
[core-vlan10
[core-vlan10
q
[core
dhcp en //开启dhcp
[core
ip pool vlan10 //定义vlan10的地址池
[core-ip-pool-vlan10
net 192.168.10.0 mask 24 //在地址池中声明网络
[core-ip-pool-vlan10
gateway-list 192.168.10.1 //在地址池中声明网关
[core-ip-pool-vlan10
dns-list 192.168.10.11 //在地址池中声明DNS服务器
[core-ip-pool-vlan10
excluded-ip-address 192.168.10.2 192.168.10.20 //在地址池中声保留不分配出去的IP地址
[core-ip-pool-vlan10
int vlan 10
[core-Vlanif10
ip add 192.168.10.1 24 //配置vlan的IP地址
[core-Vlanif10
dhcp sele glo //选择全局的地址池给DHCP客户端使用
[core-Vlanif10
int g0/0/1
[core-GigabitEthernet0/0/1
p l t //1口配置为trunk模式
[core-GigabitEthernet0/0/1
p t a v a //允许所有vlan通过
(2)接入交换机的配置:
<Huawei>sys
[Huawei
sys SW1
[SW1
vlan 10
[SW1-vlan10
int g0/0/4
[SW1-GigabitEthernet0/0/4
p l t
[SW1-GigabitEthernet0/0/4
p t a v a
[SW1-GigabitEthernet0/0/4
q
[SW1
p g g0/0/1 to g0/0/3 //创建端口组 , 组成员为1-3口
[SW1-port-group
p l a //1-3口配置为access模式
[SW1-port-group
p d v 10 //1-3口access vlan10
[SW1-port-group
q
[SW1
dhcp en
[SW1
dhcp snooping en //启用全局DHCP Snooping功能
[SW1
vlan 10
[SW1-vlan10
dhcp sn
[SW1-vlan10
dhcp snooping en //启用VLAN 10下的DHCP Snooping功能
[SW1-vlan10
dhcp snooping trusted int g0/0/4 //配置4口为DHCP信任口
[SW1-vlan10
q
[SW1
user-bind static ip-address 192.168.10.11 mac-address 5489-98F9-77D6 interface g0/0/3 vlan 10 //创建服务器的静态绑定表项
[SW1
vlan 10
[SW1-vlan10
ip source check user-bind en //启用IPSG功能
[SW1-vlan10
q
配置完成 , 来查看DHCP绑定是否正确:dis dhcp snooping user-bind all
再查看静态绑定是否正确:dis dhcp static user-bind all
经过以上配置 , PC1和PC2使用DHCP服务器动态分配的IP地址可以正常访问网络 , 如果将IP地址更改为其他的静态IP地址 , 则无法访问网络 。
同理 , 服务器修改为其他IP地址后 , 也是无法正常通讯的 。
- Google|Google 公布新技术! 可延长“旧 Android 手机”使用寿命
- CPU|三星折叠屏又迎来新技术,新机可伸缩折叠手机屏幕更吸睛
- 红米手机|Redmi K50超大杯跑分出炉,力压小米12 Pro,安卓第一名?
- iPhone|iPhone手机,如何保持久用如新?掌握这三个技巧就行了!
- iphone13|全球最畅销手机TOP10大洗牌:第一市场占比2.9%,iPhone13第三
- 芯片|现在智能手机排除物理损坏,一般情况下安卓机用2-3年没问题
- 红米手机|搭载天玑8100的红米k50跑分曝光,单核成绩932,还值得期待吗
- iqoo|红米9A:一款不用特意宣传的“爆款”产品!
- 手机壳|手机不能没有手机壳,就像西方不能失去耶路撒冷
- 高通骁龙|红米三款新机将于3月17日发布,主要参数已确认,价格良心!