防止私接家用路由器干扰DHCP功能

如果想禁止私接家用路由器只能采用准入控制+MAC认证技术(802.1x认证、端口安全等)来实现,但是很多场景需要允许家用路由器接入企业网络(例如高校老师办公室想通过wifi上网)。

此时如果某用户将家用路由器的LAN口接到网络那么DHCP就会受到干扰,因为家用路由器也能够提供IP地址,此时可以配置DHCP snooping来防御。

还有一个问题就是用户会私自配置IP地址(在高校的实验室经常遇到),私自配置的IP地址有可能会引发IP地址冲突。此时可以配置IP源防护来强制用户自动获取IP,否则用户手动配置的IP无法上网。(当然部分企业采用微软的AD域环境在系统层面实现强制用户自动获取IP地址)

更多更详细的讲解-请检索肖哥文章和视频:肖哥网络技术

Dhcp snooping -防止非法的dhcp 服务器

接入层交换机:( sw3和sw2 类似)

sw2:

dhcp enable

dhcp snooping enable

vlan 8

dhcp snooping enable

int e0/0/2 将上联口设置为信任接口(默认所有的接口都是非信任口)

dhcp snooping trusted

dhcp 安全防护

禁止用户手动配置静态ip地址,防止ip地址冲突

利用dhcp snooping 建立ip-mac-接口 的检查映射表项(适合企业用户采用动态ip获取的企业)

所有接入交换机连接用户的接口:

int e0/0/1 (连接用户的接口)

ip source check user-bind enable 开启ip源地址检查功能(需要上面的dhcp snooping 加持)

此时如果用户手动配置静态地址,由于接口没有映射,此时交换机会直接将报文丢弃。(模拟器bug ,不支持)使用user-bind static 静态建立ip-mac-接口 检查表项(这种方法适用于特殊用户必须手动配置ip地址的情况,例如某领导计算机、某共享服务器、打印机 、网络摄像头 等):

user-bind static ip-address 192.168.31.7 mac-address 0021-cccf-1d28 interface Ethernet0/0/2

interface Ethernet0/0/2

ip source check user-bind enable

即可接在e0/0/2口的PC只能是31.7 mac是1d28 才可以 通过e0/0/2口 若ip和mac 不匹配则报文将被直接丢弃 (模拟器bug 不支持)。

查看用户手动静态的绑定表项s2700 EI (V100R005)

查看用户手动静态的绑定表项-模拟器 s3700 (V200R001)

将dhcp snooping 动态绑定表项 保存到flash 防止重启丢失(可选配置)

dhcp snooping user-bind autosave flash:/backup.tbl

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注