解决IP地址冲突的方法--DHCP SNOOPING 经实验

使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING功能。
例子:
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service compress-config
!
hostname C4-2_4506
!
enable password xxxxxxx!
clock timezone GMT 8
ip subnet-zero


no ip domain-lookup
!
ip dhcp snooping vlan 180-181 // 对哪些VLAN 进行限制
ip dhcp snooping
ip arp inspection vlan 180-181
ip arp inspection validate src-mac dst-mac ip




errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause l2ptguard
errdisable recovery cause psecure-violation
errdisable recovery cause gbic-invalid
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause unicast-flood
errdisable recovery cause vmps
errdisable recovery cause arp-inspection
errdisable recovery interval 30
spanning-tree extend system-id
!
!

interface GigabitEthernet2/1 // 对该端口接入的用户进行限制,可以下联交换机
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100
!



interface GigabitEthernet2/2
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100
!
interface GigabitEthernet2/3
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100
!
interface GigabitEthernet2/4
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100
--More--
简单介绍一下这个解决方案的来历:
我是某个高校的网络管理员( 假假的 ),我校所有学生宿舍区、教学区都使用了CISCO的设备接入了网络(有 8台 CISCO6509 , 2台CISCO 7613 ,30多台的CISCO 4506 , 二百多台的各系列的CISCO2950 ,学生入网数目 > 10000 ),与其他人的问题一样,我们的最大问题就IP地址冲突的问题,以前我们的解决办法是在2950上把IP与端口绑定,但是,在2004年的时候,我们又购买了一大批的CISCO2950T-48-SI,而这些设备不支持二层的ACL,所以上述的方法失效了。
就这个问题,我们和网络集成商、思科的技术人员讨论了许久的以求解决方案,虽然他们好几个都是什么CCIE的,但就是没有什么好的方案。直到在04年底我参加了思科在北京的用户大会,与思科总部的一个鬼佬CCIE讨论,他给出了上诉的解决方案。回来后立即实施,效果非常理想。


IP Source Guard
Similar to DHCP snooping, this feature is enabled on a DHCP snooping untrusted Layer 2 port. Initially, all IP traffic on the port is blocked except for DHCP packets that are captured by the DHCP snooping process. When a client receives a valid IP address from the DHCP server, or when a static IP source binding is configured by the user, a per-port and VLAN Access Control List (PACL) is installed on the port. This process restricts the client IP traffic to those source IP addresses configured in the binding; any IP traffic with a source IP address other than that in the IP source binding will be filtered out. This filtering limits a host's ability to attack the network by claiming neighbor host's IP address.
 
IP Source Guard配置说明

由于我上传不了附件,只能贴在这里了(贴不了图),这是在实施中的一个小案例,可供大家参考

        IP Source Guard解释
----IP Source Guard是一种二层网络安全技术,应用在一个非路由端口下,可以通过dhcp状态表或手工绑定的ip binding进行流量的严格限制。应用后,在端口下会被产生一个隐藏的port acl,该acl将限制只有ip source binding的数据流可以流过该端口
----IP Source Guard可以应用在accesss端口,也可以应用在trunk端口下
----使用IP Source Guard时,必须配合ip dhcp snooping使用,当应用在access端口下时,打开该端口所属VLAN的ip dhcp snooping,应用在trunk口下时,打开终端连接端口所属VLAN的ip dhcp snooping
----IP Source Guard可以基于ip地址进行流量过滤(只要ip地址符合即可通过);也可以基于ip 和mac进行过滤(必须ip和mac同时匹配才可以通过),

        IP Source Guard配置及步骤说明
以下所有的说明基于以下拓扑:

拓扑说明:一台核心交换机,提供vlan 30,vlan 40的网关,通过trunk与接入层交换机连接,所有的配置在核心交换机上完成,接入层交换机上使用了两个vlan(30,40),user1 和user2分别位于vlan 30和vlan 40
1.        打开dhcp snooping功能
命令:(config)#ip dhcp snooping
2.        在需要进行IP Source Guard的vlan下打开dhcp snooping功能,针对某个vlan进行实施,如果有多个vlan,则需要打开多个vlan的dhcp snooping功能(这里举例vlan 40)
命令:(config)# ip dhcp snooping vlan 40
3.        进行IP和MAC地址绑定,例如:
命令:ip source binding 00C0.9F40.148E vlan 40 10.30.3.2 interface Gi3/24
/*在vlan 40内,将00C0.9F40.148E 与10.30.3.2进行绑定,并应用到端口gi3/24*/
4.        在端口启用ip source guard (参数port-security表示同时基于ip和mac地址过滤)
命令:ip verify source vlan dhcp-snooping port-security
/*IOS版本的不同,这命令行可能不一致,有些版本命令行为ip verify source port-security */
5.        检查
命令:show ip source binding
      Show ip verify source
6.        检查终端ping的情况
本文出自 51CTO.COM技术博客

你可能感兴趣的:(解决,地址,DHCP,实验,Snooping)