|
你的網(wǎng)絡(luò)是不是有過(guò)這樣的問(wèn)題:明明配置了DHCP���,還總有IP沖突,排查非常費(fèi)勁���,而且吃力不討好�����,碰到素質(zhì)差點(diǎn)的用戶���,免不了還被反懟幾句。 對(duì)付這樣的人���,有三個(gè)方法: 1�、在域控上下發(fā)組策略�,禁止用戶修改IP地址; 2�����、在交換機(jī)上配置IPSG,他倒是能改IP地址����,但是改了之后,不但上不了外網(wǎng)���,就連內(nèi)網(wǎng)都不通了���,那他就只能自己改回來(lái)了,免去你排查之苦�,就算他不改回來(lái),對(duì)網(wǎng)絡(luò)也不會(huì)產(chǎn)生任何影響���。 3���、行政手段,一經(jīng)發(fā)現(xiàn)私自修改IP地址�����,直接罰款���,從工資里面扣那種�。 
行政罰款也到不了IT外包的手里,咱們還是用點(diǎn)技術(shù)手段吧�����,那就IPSG走起�。 一���、原理簡(jiǎn)述:IPSG是IP Source Guard的簡(jiǎn)稱�。IPSG可以防范針對(duì)源IP地址進(jìn)行欺騙的攻擊行為���。 隨著網(wǎng)絡(luò)規(guī)模越來(lái)越大����,基于源IP的攻擊也逐漸增多����。所謂的攻擊,不一定是惡意的����,他也許只是想獲得上網(wǎng)權(quán)限而擅自修改IP地址���,但是這樣的行為,已經(jīng)對(duì)網(wǎng)絡(luò)造成了攻擊�,甚至有些人,把自己的IP地址直接改成了網(wǎng)關(guān)IP����,把整個(gè)網(wǎng)絡(luò)都搞崩潰了; 二�、網(wǎng)絡(luò)架構(gòu)及配置方法1、廢話不多說(shuō)����,先上拓?fù)鋱D; 
2�、配置要求: 如上圖所示,內(nèi)網(wǎng)有臺(tái)服務(wù)器�,需要配置靜態(tài)IP,并且在接入交換機(jī)內(nèi)靜態(tài)綁定���;PC1和PC2配置為自動(dòng)獲取IP地址�,并且需要防止用戶修改IP地址接入網(wǎng)絡(luò)���;核心交換機(jī)與接入交換機(jī)之間的接口配置為trunk模式�����,并且放行所有VLAN����; 3、配置過(guò)程: (1)核心交換機(jī)的配置: <Huawei>sys Enter system view, return user view with Ctrl+Z. [Huawei]sys core //命名交換機(jī) [core]vlan 10 //創(chuàng)建vlan10 [core-vlan10] [core-vlan10]q [core]dhcp en //開(kāi)啟dhcp [core]ip pool vlan10 //定義vlan10的地址池 [core-ip-pool-vlan10]net 192.168.10.0 mask 24 //在地址池中聲明網(wǎng)絡(luò) [core-ip-pool-vlan10]gateway-list 192.168.10.1 //在地址池中聲明網(wǎng)關(guān) [core-ip-pool-vlan10]dns-list 192.168.10.11 //在地址池中聲明DNS服務(wù)器 [core-ip-pool-vlan10]excluded-ip-address 192.168.10.2 192.168.10.20 //在地址池中聲保留不分配出去的IP地址 [core-ip-pool-vlan10]int vlan 10 [core-Vlanif10]ip add 192.168.10.1 24 //配置vlan的IP地址 [core-Vlanif10]dhcp sele glo //選擇全局的地址池給DHCP客戶端使用 [core-Vlanif10]int g0/0/1 [core-GigabitEthernet0/0/1]p l t //1口配置為trunk模式 [core-GigabitEthernet0/0/1]p t a v a //允許所有vlan通過(guò) (2)接入交換機(jī)的配置: <Huawei>sys [Huawei]sys SW1 [SW1]vlan 10 [SW1-vlan10]int g0/0/4 [SW1-GigabitEthernet0/0/4]p l t [SW1-GigabitEthernet0/0/4]p t a v a [SW1-GigabitEthernet0/0/4]q [SW1]p g g0/0/1 to g0/0/3 //創(chuàng)建端口組�����,組成員為1-3口 [SW1-port-group]p l a //1-3口配置為access模式 [SW1-port-group]p d v 10 //1-3口access vlan10 [SW1-port-group]q [SW1]dhcp en [SW1]dhcp snooping en //啟用全局DHCP Snooping功能 [SW1]vlan 10 [SW1-vlan10]dhcp sn [SW1-vlan10]dhcp snooping en //啟用VLAN 10下的DHCP Snooping功能 [SW1-vlan10]dhcp snooping trusted int g0/0/4 //配置4口為DHCP信任口 [SW1-vlan10]q [SW1]user-bind static ip-address 192.168.10.11 mac-address 5489-98F9-77D6 interface g0/0/3 vlan 10 //創(chuàng)建服務(wù)器的靜態(tài)綁定表項(xiàng) [SW1]vlan 10 [SW1-vlan10]ip source check user-bind en //啟用IPSG功能 [SW1-vlan10]q 配置完成���,來(lái)查看DHCP綁定是否正確:dis dhcp snooping user-bind all 
再查看靜態(tài)綁定是否正確:dis dhcp static user-bind all 
經(jīng)過(guò)以上配置,PC1和PC2使用DHCP服務(wù)器動(dòng)態(tài)分配的IP地址可以正常訪問(wèn)網(wǎng)絡(luò)���,如果將IP地址更改為其他的靜態(tài)IP地址�����,則無(wú)法訪問(wèn)網(wǎng)絡(luò)�����。 同理�,服務(wù)器修改為其他IP地址后,也是無(wú)法正常通訊的�����。 這樣一來(lái)����,網(wǎng)絡(luò)就會(huì)清靜很多,從此“無(wú)絲竹之亂耳�����,無(wú)案牘之勞形”���,何不快哉����。
|
