9、中小企业网络架构-扩展配置DHCP Snooping+IPSG

网络拓扑：

配置思路：

接入层交换机配置DHCP Snooping拒绝非法DHCP设备，IPSG拒绝非法IP

操作步骤

一、DHCP Snooping+IPSG防止恶意DHCP与IP冲突

实现控制只能获取企业内部合法的DHCP服务分配的地址，而其余的DHCP服务器则不能通过。

1、配置DHCP Snooping

1.1、开启全局DHCP Snooping功能

[SW5]dhcp enable
[SW5]dhcp snooping enable

1.2、面向用户的接口开启DHCP Snooping功能

[SW5]port-group 1
[SW5-port-group-1]group-member Ethernet 0/0/1 to Ethernet 0/0/2
[SW5-port-group-1]dhcp  snooping enable
[SW5-port-group-1]quit

1.3、连接DHCP服务器的上联接口开启trust功能

[SW5]port-group 2
[SW5-port-group-2]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/2
[SW5-port-group-2]dhcp  snooping trusted
[SW5-port-group-2]quit

DHCP Snooping的工作原理就是当开启DHCP Snooping功能后，接口处于Trust的状态则接收对应的DHCP ACK与Offer包，而其余接口默认处于Untrust中，所以会丢弃这些包

1.4、查看结果（SW5G0/0/1抓包查看DHCP数据包）

 

1.5、测试禁止DHCP（SW5E0/0/1抓包查看DHCP数据包，ACK与Offer包被丢弃看不到，也可以在SW5G0/0/1抓包，一样是看不到的）

把上联接口加入到dhcp snooping，下联设备就会无法获取IP地址

[SW5]interface  GigabitEthernet 0/0/1
[SW5-GigabitEthernet0/0/1]dhcp snooping enable
[SW5-GigabitEthernet0/0/1]undo dhcp snooping trusted
[SW5-GigabitEthernet0/0/1]quit

2、配置IP Source Guead

有时候客户会私自定义IP地址，但是客户又不是非常懂，那么导致可能与网关或者其他PC的地址冲突了，所以我们这里必须杜绝该种情况出现，必须通过DHCP获取地址才能访问内网与外网。

2.1、开启IPSG

IPSG功能是基于绑定表（DHCP动态和静态绑定表）对IP报文进行匹配检查。当设备在转发IP报文时，将此IP报文中的源IP、源MAC（Media Access Control）、接口、VLAN（Virtual Local Area Network）信息和绑定表的信息进行比较，如果信息匹配，表明是合法用户，则允许此报文正常转发，否则认为是攻击报文，并丢弃该IP报文。

eNSP模拟器存在问题，无法实现这个效果。因此使用了物理设备Quidway S2700-9TP-EI-AC充当SW5
[SW5]interface  Ethernet0/0/1
[SW5-Ethernet0/0/1]ip source check user-bind enable
[SW5-Ethernet0/0/1]ip source  check  user-bind  alarm enable
[SW5-Ethernet0/0/1]quit

2.2、如果手动IP触发告警，并且客户端是无法访问网络

3.4、静态绑定表项

门禁、考勤机、打印机之类为固定IP地址，因此需要静态绑定

[SW5]user-bind static ip-address 192.168.2.100 mac-address 000e-c6aa-1f62 vlan 2