【锐捷交换】接入交换机配置DHCP Snooping + IP Source guard + ARP-check

已于 2023-04-13 08:36:34 修改
阅读量1.8w 收藏 27
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 网络 锐捷 文章标签: 网络
于 2022-07-04 15:24:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24122661/article/details/125600918
本文介绍了一种结合DHCPSnooping、IPSourceGuard及ARP-check功能的防ARP欺骗方案。该方案通过记录合法用户的IP与MAC信息并进行校验,有效阻止非法用户的ARP欺骗行为。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

功能简介

DHCP Snooping + IP Source guard + ARP-check防ARP欺骗方案:在用户PC动态获取IP地址的过程中,通过接入层交换机的DHCP Snooping功能将用户DHCP获取到的,正确的IP与MAC信息记录到交换机的DHCP Snooping软件表;然后通过IP Source guard功能将DHCP Snooping表的每个终端的IP&MAC信息写入交换机的硬件表项(类似端口安全的绑定);最后使用ARP-check功能校验所有ARP报文的正确性。如果合法用户获取IP地址后试图进行ARP欺骗,或者是非法用户私自配置静态的IP地址,他们的ARP校验都将失败,这样的用户将无法使用网络。    

配置方法

开启DHCP Snooping并将连接DHCP服务器的端口设为信任:
Ruijie>enable     
Ruijie#configure terminal 
Ruijie(config)#ip dhcp snooping     
Ruijie(config)#interface gigabitEthernet 0/24
Ruijie(config-if-GigabitEthernet 0/24)#ip dhcp snooping trust
Ruijie(config-if-GigabitEthernet 0/24)#exit

连接终端接口开启IP Source Guard:
Ruijie(config)#interface range gigabitEthernet 0/1-16
Ruijie(config-if-range)#ip verify source port-security 
Ruijie(config-if-range)#

连接终端接口开启arp-check:
Ruijie(config)#interface range gigabitEthernet 0/1-16
Ruijie(config-if-range)#arp-check 
Ruijie(config-if-range)#end
Ruijie#write

DHCP Snooping + IP Source guard + ARP-check配置完成

锐捷交换机——MAC地址绑定、IP source guard
君逍遥o
10-12 6000
用户网关在核心交换机上,核心交换机创建DHCP Server,接入交换机下联PC使用动态DHCP获取IP地址,为了防止内网用户私设IP,需要实施IP Source Guard功能,对于私设IP地址的用户不让访问外网。
锐捷交换机——DHCP Snooping
君逍遥o
10-09 2278
接入交换机为S2652G交换机,核心交换机是S5750,S2652G交换机下联PC使用动态DHCP获取IP地址,为了防止内网有用户接入非法dhcp服务器,如自带的无线小路由器等,导致正常用户获取到错误的地址而上不了网或地址冲突,要实施DHCP SnoopingDHCP监听)功能。
锐捷交换机 DHCP snooping
weixin_55444377的博客
12-07 2766
使用ARP-check功能校验所有ARP报文的正确性。如果合法用户获取IP地址后试图进行ARP欺骗,或者是非法用户私自配置静态的IP地址,他们的ARP校验都将失败,这样的用户将无法使用网络。通过IP Source guard功能将DHCP Snooping表的每个终端的IP&MAC信息写入交换机的硬件表项(类似端口安全的绑定);DHCP Snooping 阻止非法 DHCP 服务器为局域网用户提供 IP 地址。DHCP Snooping 阻止非法 DHCP 服务器为局域网用户提供 IP 地址。
锐捷交换机配置DHCP
11-29
配置了,交换机所收到的请求报文将全部转发给它,同时,收到DHCP ServerDHCPServer 的响应报文也会转发给。如果您不确认DHCP ClientDHCP 的地址,ServerIP 可设为,交换机会把收到的请求报文向所有的网络接口发送,但我们不推荐这255.255.255.255DHCP种做法。
锐捷交换机DHCP snooping配置
ZBoron的博客
04-11 6889
先来看一下DHCP snooping的介绍,百度了一下发现他是一个安全的监听机制,在VLAN中监听,它分为信任端口和不信任端口,可以通过信任端口向他发送DHCP请求,不信任端口发送的丢弃。 一般信任端口上联,非信任端口接设备,一般防止下联路由器影响上层业务。 命令如下: 1.进入全局模式,开启全局dhcp snooping功能。 >enable #configure termi...
锐捷学习笔记-24(ARP Check
zhaoxx22的博客
07-21 832
注:PC-A和PC-B通过DHCP获取IP地址,PC-C手工配置IP地址 /IP Source Guard锐捷ARP配置命令。
锐捷(二十)DHCP Snooping + IP Source guard + ARP-checkARP欺骗方案
weixin_51338719的博客
02-11 1826
本文主要介绍锐捷DHCP Snooping + IP Source guard + ARP-checkARP欺骗方案
锐捷交换机启用 DHCP Snooping + IP Source Guard + ARP Check 功能,针对 VLAN10 启用 ARP 防御
03-13
嗯,用户想在锐捷交换机的VLAN10上配置DHCP SnoopingIP Source GuardARP Check来防御ARP欺骗。首先,我需要回忆一下这些功能各自的作用和配置步骤。根据引用内容,DHCP Snooping用于记录合法的IP和MAC对应关系,...
锐捷-dhcp snooping 的使用-SHWGYDXWXXM-20210406
MUXUEBAITOU的博客
04-06 2415
dhcp snooping的使用: 由于dhcp防止用户私接dhcp欺骗,所以只需要在接入交换机配置即可。 接入交换机全局配置ip dhcp snooping //全局启用dhcp snooping接入交换机上联口配置ip dhcp snooping trust //上联口启用dhcp信任,配置之后才可以转发dhcp报文。 备注: 全局启用ip dhcp snooping 的话,上联口必须配置IP dhcp snooping trust才可以获取dhcp报文。 如果全局不启用ip dhc
RGSP-Routing and Switching知识分享 | ARP Check
wjy的博客
01-18 1057
防止ARP欺骗的ARPCheck
锐捷在层交换机上实现DHCP功能
01-04
锐捷三层交换机上实现DHCP功能,想做锐捷实验实现DHCP功能看过来
锐捷(八)DHCP Snooping配置
weixin_51338719的博客
02-01 2883
dhcp snooping工作原理和作用:开启dhcp snooping;获取IP地址。1.dhcp snooping 工作原理:针对某个vlan开启dhcp snooping。.作用:保证客户端从合法的服务器处获取IP地址。记录客户端IP地址与Mac地址的对应关系。
锐捷DHCP配置
qq_69886306的博客
02-01 4120
一个简单德DHCP实验topo实验开始no switchport \\打开三层接口,不然无法配置IPip add 192.168.10.254 24 \\配置IP为192.168.10.254,掩码24位(充当网关)service dhcp \\开启dhcp服务ip dhcp pool PC \\创建DHCP地址池,名字为PCnetwork 192.168.10.0 255.255.255.0 \\地址池范围。
锐捷DHCP配置
热门推荐
CyclingLife(config)#
07-04 2万+
锐捷DHCP配置
锐捷设备配置DHCPDHCP中继及DHCP Snooping示例
最新发布
2302_76373579的博客
03-15 752
锐捷设备配置DHCPDHCP中继及DHCP Snooping示例
锐捷防火墙(WEB)——DHCP配置
君逍遥o
09-27 2263
开启NGFW的DHCP服务器功能,内网电脑可通过自动获取地址的方式上网。内网用户网段为192.168.1.0/24,网关为192.168.1.200。
锐捷三层交换机配置DHCP
cheems404的博客
11-12 1万+
switch(config)#service dhcp 开启交换机DHCP服务 switch(config)#ip dhcp pool vlan 1 switch(dhcp-config)#network 192.168.1.0 255.255.255.0 要分配给客户机的网段 switch(dhcp-config)#default-router 192.168.1.254 默认路由 switch(dhcp-confi.
配置ipv6地址池
Ling_for_me的博客
11-02 1万+
# 配置一个名为pool1的配置信息池,并配置域名、DNS Server、IA_NA等,然后在vlan 1接口上打开DHCPv6 Server功能: Ruijie# configure terminal Ruijie(config)# ipv6 dhcp pool pool1     ----->创建名为pool1的DHCP地址池 Ruijie(config-dhcp)# domain...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值