耿叔 帮忙啊 ip source guard
第一次请教耿叔问题 忐忑啊!有个关于DHCP的问题请教耿叔!
情况是这样的我说重点 .!
具体情况,
核心设备为45,45与三台2960还有一天35直连,45为dhcp服务器,其中一台29下接了一台TP-link48口傻瓜交换机
另外一台29下接了一个家用的tp-link无线路由器,此路由器获取一个内网IP,转换成其他网段的地址,具有dhcp功能
希望解决局域网内私自改IP造成IP地址冲突问题
无线路由器不工作在交换机模式,而是保持具有dhcp功能,可以是无线客户端获取到IP地址!
现在网络的情况貌似是都是DHCP获取的IP 要是有一台PC设置手动配置IP 就会跟局域网内的其他PC冲突 另一台PC会提示IP重复 现在设置的都是租期无限长...但是这样也不是办法
然后就想问问耿叔 ip source guard 针对这种情况怎么搞!
或者耿叔说说自己的高见!
膜拜耿叔!
耿叔威武!
耿叔荡漾!
耿叔在上课。他下课我跟他说小陈哥哥求助。
首先呢IPSG一般是部署在二层交换机上的一种安全特性,通过交换机上的安全地址表项来对接入用户进行访问控制。
安全地址表项的构成一般有静态配置、动态DHCP自动获取(过程中的侦听)、第三方软件或特性获取
而一般情况下,我们会采用DHCPsnooping(的database)+静态绑定的方式来构成安全地址表项
楼主所描述的网络环境中,TPLINK下挂的用户不具备实施条件,所以忽略,可以在两台C29及35上实施
首先需要开启DHCP snooping,三台设备下的用户通过DHCP获取地址,交换机侦听DHCP报文并且构成安全地址表项,之后IPSG通过这些安全地址表项对接入用户进行访问控制,只有通过合法的DHCP服务器获取的地址,才能够正常通行,
(这是因为合法的DHCP对话进程被DHCPsnooping侦听,并且形成了DHCP snooping的DATABASE,而IPSG正是借助这个DATABASE工作的)
非法(非DHCP获取或私设IP用户)设置静态IP的用户将无法正常上网,因为安全地址表项中没有相应的内容
另外,对于静态IP的服务器或者特殊用户,可以在交换机上手工配置表项
不知道是否解决了楼主的困惑?
IPSG是一个常见的用于“内网防私设IP”的解决方案。
于此类似的还有CISCO的DAI,也是一种常见的方法。
兄弟好人啊! 耿叔好人不解释!
我只能看懂一点!这个问题是别人问我的!我说我帮他问问!他能看懂的!
九月份准备考NA不知道现在的TK稳定不!
有时间去上海 请耿叔跟二楼的兄弟吃大餐!
顺便支持下耿叔的第二产业!
耿叔威武!
页:
[1]