耿叔 帮忙啊 ip source guard

小陈哥哥

第一次请教耿叔问题 忐忑啊！
有个关于DHCP的问题请教耿叔！

情况是这样的  我说重点 .！
具体情况，
核心设备为45,45与三台2960还有一天35直连，45为dhcp服务器，其中一台29下接了一台TP-link48口傻瓜交换机
另外一台29下接了一个家用的tp-link无线路由器，此路由器获取一个内网IP，转换成其他网段的地址，具有dhcp功能

希望解决局域网内私自改IP造成IP地址冲突问题
无线路由器不工作在交换机模式，而是保持具有dhcp功能，可以是无线客户端获取到IP地址！

现在网络的情况貌似是都是DHCP获取的IP   要是有一台PC设置手动配置IP 就会跟局域网内的其他PC冲突 另一台PC会提示IP重复   现在设置的都是租期无限长...  但是这样也不是办法

然后就想问问耿叔 ip source guard 针对这种情况怎么搞！
或者耿叔说说自己的高见！
膜拜耿叔！
耿叔威武！
耿叔荡漾！

bookpig

耿叔在上课。他下课我跟他说小陈哥哥求助。

tea

首先呢IPSG一般是部署在二层交换机上的一种安全特性，通过交换机上的安全地址表项来对接入用户进行访问控制。
安全地址表项的构成一般有静态配置、动态DHCP自动获取（过程中的侦听）、第三方软件或特性获取
而一般情况下，我们会采用DHCPsnooping（的database）+静态绑定的方式来构成安全地址表项
楼主所描述的网络环境中，TPLINK下挂的用户不具备实施条件，所以忽略，可以在两台C29及35上实施
首先需要开启DHCP snooping，三台设备下的用户通过DHCP获取地址，交换机侦听DHCP报文并且构成安全地址表项，之后IPSG通过这些安全地址表项对接入用户进行访问控制，只有通过合法的DHCP服务器获取的地址，才能够正常通行，
（这是因为合法的DHCP对话进程被DHCPsnooping侦听，并且形成了DHCP snooping的DATABASE，而IPSG正是借助这个DATABASE工作的）
非法（非DHCP获取或私设IP用户）设置静态IP的用户将无法正常上网，因为安全地址表项中没有相应的内容
另外，对于静态IP的服务器或者特殊用户，可以在交换机上手工配置表项

不知道是否解决了楼主的困惑？



IPSG是一个常见的用于“内网防私设IP”的解决方案。
于此类似的还有CISCO的DAI，也是一种常见的方法。

小陈哥哥

兄弟好人啊！

小陈哥哥

耿叔好人不解释！
我只能看懂一点！这个问题是别人问我的！我说我帮他问问！他能看懂的！
九月份准备考NA  不知道现在的TK稳定不！
有时间去上海 请耿叔跟二楼的兄弟吃大餐！
顺便支持下耿叔的第二产业！
耿叔威武！