添加时间: 2008-2-1 1:46:48  作者: Cisco指导  阅读次数:48   来源: http://www.d9soft.com

       

  　使用的方法是采用DHCP方式为用户分配IP，然后限定这些用户只能使用动态IP的方式，如果改成静态

IP的方式则不能连接上 网络 ；也就是使用了DHCP SNOOPING功能。
　　例子：
　　version 12.1
　　no service pad
　　service timestamps debug uptime
　　service timestamps log uptime
　　no service password-encryption
　　service compress-config
　　!
　　hostname C4-2_4506
　　!
　　enable password xxxxxxx!
　　clock timezone GMT 8
　　ip subnet-zero

　　no ip domain-lookup
　　!
　　ip dhcp snooping vlan 180-181 // 对哪些VLAN 进行限制
　　ip dhcp snooping
　　ip arp inspection vlan 180-181
　　ip arp inspection validate src-mac dst-mac ip

　　

　　errdisable recovery cause udld
　　errdisable recovery cause bpduguard
　　errdisable recovery cause security-violation
　　errdisable recovery cause channel-misconfig
　　errdisable recovery cause pagp-flap
　　errdisable recovery cause dtp-flap
　　errdisable recovery cause link-flap
　　errdisable recovery cause l2ptguard
　　errdisable recovery cause psecure-violation
　　errdisable recovery cause gbic-invalid
　　errdisable recovery cause dhcp-rate-limit
　　errdisable recovery cause unicast-flood
　　errdisable recovery cause vmps
　　errdisable recovery cause arp-inspection
　　errdisable recovery interval 30
　　spanning-tree extend system-id
　　!
　　!

　　interface GigabitEthernet2/1 // 对该端口接入的用户进行限制，可以下联交换机
　　ip arp inspection limit rate 100
　　arp timeout 2
　　ip dhcp snooping limit rate 100
　　!

　　

　　interface GigabitEthernet2/2
　　ip arp inspection limit rate 100
　　arp timeout 2
　　ip dhcp snooping limit rate 100
　　!
　　interface GigabitEthernet2/3
　　ip arp inspection limit rate 100
　　arp timeout 2
　　ip dhcp snooping limit rate 100
　　!
　　interface GigabitEthernet2/4
　　ip arp inspection limit rate 100
　　arp timeout 2
　　ip dhcp snooping limit rate 100
　　--More-- 

　　简单介绍一下这个解决方案的来历:
　　我是某个高校的网络 管理 员（ 假假的 ），我校所有学生宿舍区、教学区都使用了CISCO的设备接

入了网络（有 8台 CISCO6509 , 2台CISCO 7613 ，30多台的CISCO 4506 , 二百多台的各系列的

CISCO2950 ，学生入网数目 > 10000 ），与其他人的问题一样，我们的最大问题就IP地址冲突的问题，

以前我们的解决办法是在2950上把IP与端口绑定，但是，在2004年的时候，我们又购买了一大批的

CISCO2950T-48-SI，而这些设备不支持二层的ACL，所以上述的方法失效了。

　　就这个问题，我们和网络集成商、思科的技术人员讨论了许久的以求解决方案，虽然他们好几个都是

什么CCIE的，但就是没有什么好的方案。直到在04年底我参加了思科在北京的用户大会，与思科总部的一

个鬼佬CCIE讨论，他给出了上诉的解决方案。回来后立即实施，效果非常理想。

　　IP Source Guard
　　Similar to DHCP snooping, this feature is enabled on a DHCP snooping untrusted Layer 2

port. Initially, all IP traffic on the port is blocked except for DHCP packets that are

captured by the DHCP snooping process. When a client receives a valid IP address from the

DHCP server, or when a static IP source binding is configured by the user, a per-port and

VLAN Access Control List (PACL) is installed on the port. This process restricts the client

IP traffic to those source IP addresses configured in the binding; any IP traffic with a

source IP address other than that in the IP source binding will be filtered out. This

filtering limits a host’s ability to attack the network by claiming neighbor host’s IP

address.

 

 

思科认证分类导航

• Cisco动态
• Cisco指导
• Cisco介绍
• Cisco试题

本类经典文章推荐

• CISCO认证增长60％新认证推陈出新
• 加快千兆网络普及以太网技术动向
• WinGate与Internet连接共享
• WinGate3.0安装指导
• 远程传输的两种技术优劣各异
• Cisco认证指导:基础中文命令集
• IOS软件结构读书笔记
• 路由器基础配置及传输协议
• 网络安全:IPv6安全威胁
• 路由技术:路由器远程管理实例

Cisco指导阅读排行

• Cisco路由器访问控制列表详解
• 我的CISCO认证学习笔记总结
• EPON与GPON的综合比较
• CCNA考试主要知识点指导
• 企业网络规划对工作效率的影响
• 如何安全地使用SNMP
• Cisco指导:IOS命令大全（一）
• GSM数字移动通信无线网络规划设计...
• 使用IPSec阻止特定网络协议和端口
• 如何配置Cisco PIX防火墙[5]

思科认证阅读总排行

• Cisco路由器访问控制列表详解
• 我的CISCO认证学习笔记总结
• 思科考试认证（CISCO） CCNA考试就...
• EPON与GPON的综合比较
• Cisco经验介绍:CCNP培训日记(2)
• CCNA考试主要知识点指导
• Cisco经验介绍:ping命令之解惑
• CCNABRAINDUMP6(1)
• 企业网络规划对工作效率的影响
• 思科认证考试（ＣＣＮＡ）考试模拟...

广告位置