交换机dhcp snooping和IP source guard禁止手动配置IP (dhcp/环路防护)

交换机dhcp snooping和IP source guard禁止手动配置IP (dhcp/环路防护)_第1张图片

通过dhcp snooping 防止内部企业网私自接入dhcp server;
通过启用IP source guard防止内部用户私自手动配置ip地址。

思科dhcp防护:

接入层dhcp snooping 配置:

(config)#ip dhcp snooping
(config)# ip dhcp snooping vlan 67
(config)#interface GigabitEthernet1/0/47
(config-if)#ip dhcp snooping trust

核心层需要如下配置:(否则客户端获取不到IP地址)

(config)#interface vlan 67
(config)# ip dhcp relay information trusted

看下效果:

#sh ip dhcp snooping
#sh ip dhcp snooping  binding

IP Source Guard 配置:
配置ip source guard 之前,必须先启用 dhcp snooping.只需在对应的接口下启用即可:

(config)#interface gigabitEthernet 1/0/10
(config-if)#switchport port-security
(config-if)#ip verify source port-security

 看下效果:

#sh ip ver source

Filter mode: 正常为Active 状态
IP 地址一栏中, 显示正常IP的既可以正常上网,deny-all 的可能是手动配置的IP地址 .

锐捷dhcp防护:

接入交换机配置:

Ruijie(config)#ip dhcp snooping              //开启DHCP snooping功能

Ruijie(config)#interface gigabitEthernet 0/49          //连接DHCP服务器的接口配置为可信任口

Ruijie(config-GigabitEthernet 0/49)#ip dhcp snooping trust

  //开启DHCP snooping的交换机所有接口缺省为untrust口,交换机只转发从trust口收到的DHCP响应报文(offer、ACK)

思科防环:
1、在全局下开启portfast
spanning-tree portfast default 
2、在接口下开启BPDU防护
spanning-tree bpduguard enable
3、也可在全局下对所有端口开启BPDU防护
C3560G-1(config)#spanning-tree portfast default
C3560G-1(config)#spanning-tree portfast bpduguard default

H3C防环:
1、在全局下开启环路检测并设置检测间隔时间
 loopback-detection enable
 loopback-detection interval-time 5
2、在接口下也得开启环路检测
[H3C-S5120-GigabitEthernet1/0/12]loopback-detection enable 

注:loopback-detection per-vlan enable         //对端口下所有VLAN中执行网络环回监测,仅Trunk端口或Hybrid端口有效。

当网络中真出现环路时,可以用以下命令查看环路来自哪个端口
[H3C-S5120-GigabitEthernet1/0/12]dis loopback-detection 
 Loopback-detection is running
 Detection interval time is 5 seconds
 Following port(s) has(have) loopback link:
 GigabitEthernet1/0/12    //环路来自该端口

RuiJie防环:

方法一:

  (config)#spanning-tree        //开启生成树协议
  (config)#spanning-tree mode stp         //指定生成树类型可选模式stp , rstp , mstp            (config)#spanning-tree priority 4096         //设置交换机的优先级默认为32768

方法二:

rldp enable                                                         //全局开启防环
errdisable recovery interval 300                         //当端口被RLDP检测并shutdown等300秒后恢复

interface range g0/1-8
rldp port loop-detect shutdown-port

你可能感兴趣的:(运维,运维)