雏鹰部落

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 1630|回复: 4

[讨论/求助] 耿叔 帮忙啊 ip source guard

[复制链接]
发表于 2012-8-26 01:36:17 | 显示全部楼层 |阅读模式
第一次请教耿叔问题 忐忑啊!
有个关于DHCP的问题请教耿叔!

情况是这样的  我说重点 .!
具体情况,
核心设备为45,45与三台2960还有一天35直连,45为dhcp服务器,其中一台29下接了一台TP-link48口傻瓜交换机
另外一台29下接了一个家用的tp-link无线路由器,此路由器获取一个内网IP,转换成其他网段的地址,具有dhcp功能

希望解决局域网内私自改IP造成IP地址冲突问题
无线路由器不工作在交换机模式,而是保持具有dhcp功能,可以是无线客户端获取到IP地址!

现在网络的情况貌似是都是DHCP获取的IP   要是有一台PC设置手动配置IP 就会跟局域网内的其他PC冲突 另一台PC会提示IP重复   现在设置的都是租期无限长...  但是这样也不是办法

然后就想问问耿叔 ip source guard 针对这种情况怎么搞!
或者耿叔说说自己的高见!
膜拜耿叔!
耿叔威武!
耿叔荡漾!

发表于 2012-8-27 15:51:23 | 显示全部楼层
耿叔在上课。他下课我跟他说小陈哥哥求助。
发表于 2012-8-27 17:03:52 | 显示全部楼层


首先呢IPSG一般是部署在二层交换机上的一种安全特性,通过交换机上的安全地址表项来对接入用户进行访问控制。
安全地址表项的构成一般有静态配置、动态DHCP自动获取(过程中的侦听)、第三方软件或特性获取
而一般情况下,我们会采用DHCPsnooping(的database)+静态绑定的方式来构成安全地址表项
楼主所描述的网络环境中,TPLINK下挂的用户不具备实施条件,所以忽略,可以在两台C29及35上实施
首先需要开启DHCP snooping,三台设备下的用户通过DHCP获取地址,交换机侦听DHCP报文并且构成安全地址表项,之后IPSG通过这些安全地址表项对接入用户进行访问控制,只有通过合法的DHCP服务器获取的地址,才能够正常通行,
(这是因为合法的DHCP对话进程被DHCPsnooping侦听,并且形成了DHCP snooping的DATABASE,而IPSG正是借助这个DATABASE工作的)
非法(非DHCP获取或私设IP用户)设置静态IP的用户将无法正常上网,因为安全地址表项中没有相应的内容
另外,对于静态IP的服务器或者特殊用户,可以在交换机上手工配置表项

不知道是否解决了楼主的困惑?



IPSG是一个常见的用于“内网防私设IP”的解决方案。
于此类似的还有CISCO的DAI,也是一种常见的方法。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
 楼主| 发表于 2012-8-29 00:07:54 | 显示全部楼层
兄弟好人啊!
 楼主| 发表于 2012-8-29 00:13:29 | 显示全部楼层
耿叔好人不解释!
我只能看懂一点!这个问题是别人问我的!我说我帮他问问!他能看懂的!
九月份准备考NA  不知道现在的TK稳定不!
有时间去上海 请耿叔跟二楼的兄弟吃大餐!
顺便支持下耿叔的第二产业!
耿叔威武!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|熊猫同学技术论坛|小黑屋| 网络工程师论坛 ( 沪ICP备09076391 )

GMT+8, 2024-12-23 08:15 , Processed in 0.079021 second(s), 19 queries , Gzip On.

快速回复 返回顶部 返回列表