本文主要是介绍锐捷(二十)DHCP Snooping + IP Source guard + ARP-check防ARP欺骗方案,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
DHCP Snooping + IP Source guard + ARP-check防ARP欺骗方案:在用户PC动态获取IP地址的过程中,通过接入层交换机的DHCP Snooping功能将用户DHCP获取到的,正确的IP与MAC信息记录到交换机的DHCP Snooping软件表;然后通过IP Source guard功能将DHCP Snooping表的每个终端的IP&MAC信息写入交换机的硬件表项(类似端口安全的绑定);最后使用ARP-check功能校验所有ARP报文的正确性。如果合法用户获取IP地址后试图进行ARP欺骗,或者是非法用户私自配置静态的IP地址,他们的ARP校验都将失败,这样的用户将无法使用网络。
具体配置如下所示:
1、开启DHCP Snooping并将连接DHCP服务器的端口设为信任:
Ruijie>enable Ruijie#configure terminalRuijie(config)#ip dhcp snooping Ruijie(config)#interface gigabitEthernet 0/24Ruijie(config-if-GigabitEthernet 0/24)#ip dhcp snooping trustRuijie(config-if-GigabitEthernet 0/24)#exit2、连接终端接口开启IP Source Guard:
Ruijie(config)#interface range gigabitEthernet 0/1-16Ruijie(config-if-range)#ip verify source port-security3、连接终端接口开启arp-check:
Ruijie(config)#interface range gigabitEthernet 0/1-16Ruijie(config-if-range)#arp-checkRuijie(config-if-range)#endDHCP Snooping + IP Source guard + ARP-check配置完成
这篇关于锐捷(二十)DHCP Snooping + IP Source guard + ARP-check防ARP欺骗方案的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
