由于现代企业网络环境比较复杂及用户的使用程度不同,企业网络管理员经常遇到由内部网络产生的两种情况,所带来困扰:
1、一些企业内部员工在未经允许的情况下在终端私接路由器(一些SOHU路由器默认开启DHCP服务),或者私搭DHCP服务器,这样就可能导致企业内部其他客户端无法获得正确的IP地址。
2、有些员工在上网浏览过程中感染了ARP病毒,那么就会导致ARP病毒在企业内部网络里进行传播,会导致一些客户端无法获得正确的网关地址,无法正常工作。

那么我们的企业网络管理员如何避免以上两种情况呢?我们的企业网络管理员,会在思科交换机上开启两种防范技术:DHCP SNOOPING 和 DAI ,通过以上两种防范技术的结合,就可以使以上两种情况在我们的企业网络内部消失。(2950及以上系列支持DHCP SNOOPING、3550及以上系列支持DAI,注:2950支持DHCP SNOOPING需升级IOS)

但同时也会带来另一个问题,那就是一些服务器需要使用固定IP,那么采用了两种技术后,服务器就无法正常提供服务,那么我们的网络管理员该如何针对此类问题,使用什么方案来解决问题呢?
答案就是我们可以通过以下两种方法来解决此类问题:

1、利用手工ARP访问控制列表(经常看见网上这样说):
switch(config)#arp access-list test
switch(config-arp-nacl)#permit ip host 192.168.2.2 mac mac host 0003.1fc6.4f50
switch(config)ip arp inspection filter test vlan 2 //后面还可以使用static参数,一般不需要使用,如果使用就无法利用DHCP snooping进行ARP的控制,只能静态绑定。

2、利用源地址绑定技术(本人就是利用此类方法,但很少看见网上有使用这样的方法进行设定)
switch(config)#ip source binding 0003.1fc6.4f50 vlan 2 192.168.2.2 interface Fa1/0/2

通过以上的解决方案,就可以使我们避免此类问题给我们的企业网络带来不稳定的情况。