网工记背配置基础命令总结(4)---DHCP配置

本文涉及的产品
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
云解析 DNS,旗舰版 1个月
全局流量管理 GTM,标准版 1个月
简介: 网工记背配置基础命令总结(4)---DHCP配置

1.DHCP相关配置

1. 执行命令 ip pool ip-pool-name,系统视图下创建全局地址池,同时进入全局地址池视图。


2 .执行命令network ip-address [ mask {mask mask-length} ],配置全局地址池可动态分配的 IP 地址范围。


3.执行命令 gateway-list ip-address &<1-8>,配置 DHCP 客户端的出口网关地址。



4.执行命令 dns-list ip-address &<1-8>,配置 DHCP 客户端使用的 DNS 服务器的 IP 地址


5.执行命令static-bind ip-address ip-address mac-address mac-address,采用静态地址绑定方式将全局地址池中的 IP 地址与 DHCP 客户端的 MAC 地址绑定。


6.执行命令 lease { day day [ hour hour [ minute minute ] ]  unlimited },配置IP 地址租期,缺省情况下,IP 地址的租期为 1天


7 .执行命令excluded-ip-address start-ip-address [ end-ip-address ],配置地址池中不参与自动分配的 IP 地址保留以分配给其他的服务。


8.执行命令 lock,锁定 IP 地址池。


#配置接口工作在全局地址池模式:

9.执行命令 dhcp enable,系统视图下使能 DHCP 服务


10.执行命令 dhcp select global,接口视图下使能接口采用全局地址池的 DHCP 服务器功


能配置接口地址池操作步骤


1.执行命令 dhcp enable,系统视图下使能 DHCP 服务


2.执行命令 dhcp select interface,接口视图下使能接口采用接口地址池的 DHCP 服务器功能。


3.执行命令 dhcp server lease { day day [ hour hour [ minute minute ] ]  unlimited },配置 IP 地址租期,缺省情况下,IP 地址的租期为 1天。


4.执行命令 dhcp server excluded-ip-address start-ip-address[ end-ip-address ],配置地址池中不参与自动分配的 工P 地址保留以分配给其他的服务。


5.执行命令 dhcp server static-bind ip-address ip-address mac-address mac-address

采用静态地址绑定方式将接口地址池中的 IP 地址与 MAC 地址绑定。


6.执行命令 dhcp server dns-list ip-address &<1-8>,为DHCP 客户端指定 DNS 服务器的IP地址。


2.基于不同网段内DHCP服务器和DHCP中继

如图所示,某公司拥有多个办公地点且位于不同的商务楼宇中,在不同楼宇内的办公室主机在不同的VLAN 内,公司希望不同办公地点的主机由共同的 DHCP 服务器 SwitchB 分配 IP 地址。公司的办公地点A的主机所在的网段为 20.20.20.0/24,而 DHCP 服务器所在的网段为 10.10.10.0/24。通过带DHCP 中继功能的 SwitchA 转发 DHCP 报文,使得DHCP 客户端可以从 DHCP 服务器上申请到IP 地址等相关配置信息。其中 SwitchA 上接口 VLANIE10 的接口地址为 10.10.10.2/24,对端 SwitchB 上接口VLANIE10 的接口地址为 10.10.10.1/24。



思路:


1.在 SwitchA上配置 DHCP 中继功能,实现 SwitchA 转发不同网段的 DHCP 报文功能.


2.在SwitchB 上配置一个IP 地址范围为 20.20.20.0/24 的全局地址池,实现DHCP 服务器为不同网段的客户端分配 IP 地址。


switchA上配置dhcp中继功能


创建 dhcp 服务器组并为服务器组添加 dhcp 服务器
<SwitchA> system-view
[SwitchA]dhcp server group dhcpgroup1
[SwitchA-dhcp-server-group-dhcpgroup1]dhcp-server 10.10.10.1 //为 dhcp 服务器组 dhcpgroup1 添加 dhcp 服务器 10.10.10.1
[SwitchA] dhcp server group dhcpgroupl
[SwitchA-dhcp-server-group-dhcpgroup1]quit
在接口下使能 dhcp 中继功能,SWA-PC,链路类型为 access
[SwitchA] vlan batch 10 20
[SwitchA] interface gigabitethernet 0/0/2
[SwitchA-GigabitEthernet0/0/2] port link-type access
[SwitchA-GigabitEthernet0/0/2] port default vlan 20[SwitchA-GigabitEthernet0/0/2] quit
在对接 PC 电脑的接口 GEO/0/1 下使能 dhcp 中继功能、绑定 dhcp 服务器组
[SwitchA] dhcp enable
[SwitchA] interface vlanif 20
[SwitchA-Vlanif20] ip address 20.20.20.1 24//配置接口 IP 地址
[SwitchA-Vlanif20] dhcp select relay//使能 dhcp 中继功能
[SwitchA-Vlanif20] dhcp relay server-select dhcpgroup1dhcpgroup1    //绑定 dhcp 服务器组
[SwitchA-Vlanif20] quit
在 SwitchA 上配置缺省路由下一跳为 SwitchB 的接口地址 10.10.10.1
[SwitchA] interface vlanif 10
[SwitchA-Vlanif10] ip address 10.10.10.2 24[SwitchA-Vlanif10] quit
[SwitchA] ip route-static 0.0.0.0 0 10.10.10.1


SWB的配置

接口下相应 vlan 配置
<SwitchB> system-view
//进入系统视图
[SwitchB] vlan 10
[SwitchB] interface gigabitethernet 0/0/1
[SwitchB-GigabitEthernet0/0/1] port link-type access
[SwitchB-GigabitEthernet0/0/1] port default vlan 10
[SwitchB-GigabitEthernet0/0/1] quit
[SwitchB] dhcp enable
[SwitchB] vlan 10
[SwitchB-vlan10] quit
[SwitchB] interface vlanif 10
[SwitchB-Vlanif10] ip address 10.10.10.1 24
[SwitchB-Vlanif10] dhcp select global
[SwitchB-Vlanif10] quit
创建地址池并配置相关属性
[SwitchB] ip pool pool1
[SwitchB-ip-pool-poo11]network 20 .20.20 .0 mask 24
[SwitchB-ip-pool-poo11]gateway-list 20.20.20.1
[SwitchB-ip-pool-poo11] quit
#在SWB上配置明细回程路由,下一跳SwitchA的接口地址为10.10.10.2
[SwitchB-ip-pool-pool1] 0.0.0.0 0 10.10.10.2


3.VRRP组网下同网段内配置基于全局地址池的DHCP服务器

如图所示,某企业内的一台主机通过 Switch 双归属到 SwitchA和 SwitchB,SwitchA为主设备,作为 DHCP 服务器为客户端分配 IP 地址。现用户希望当主设备故障时,客户端能够通过备设备重新获取 IP 地址。



思路:


1、配置 SwitchA 和 SwitchB 设备上接口 IP 地址,使各设备间网络层连通:同时配置 Switch 上的二层透传功能。

2、在 SwitchA和 SwitchB 上配置 VRRP 备份组。其中,SwitchA 上配置较高优先级,作为 Master设备为客户端分配 IP 地址:SwitchB 上配置较低优先级,作为备用交换机。

3、在 SwitchA 和 SwitchB 上创建全局地址池,并配置地址池相关属性。

4、在 SwitchA、Switch 和 Switch 上配置破环协议,防止环路的产生(此处以配置 STP 为例)。


1、配置设备间的网络互连
# 配置设备各接口的IP 地址,以 SwitchA 为例。SwitchB 的配置与之类似
<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] vlan batch 100
[SwitchA] interface gigabitethernet 0/0/2    //下连Switch的接口
[SwitchA-GigabitEthernet0/0/2] port link-type access
[SwitchA-GigabitEthernet0/0/2] port default vlan 100
[SwitchA-GigabitEthernet0/0/2] quit
[SwitchA] interface gigabitethernet 0/0/5
[SwitchA-GigabitEthernet0/0/5] port link-type access
[SwitchA-GigabitEthernet0/0/5] port default vlan 100
[SwitchA-GigabitEthernet0/0/5] quit
SwitchA] interface vlanif 100
[SwitchA-Vlanif100] ip address 10.1.1.1 24
[SwitchA-Vlanif100] quit
[Switch] interface gigabitethernet 0/0/2    //上连 SwitchB
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] portdefault vlan 100
[Switch-GigabitEthernet0/0/2] quit
2、创建地址池并配置相关属性
# 在 SwitchA 上启动 DHCP 服务
[SwitchA] dhcp enable
# 在 SwitchA上创建地址池,配置地址池范围是 10.1.1.2~10.1.1.128,和 SwitchB 上配置的地址池地址互相排除。
#因为交换机主设备上的地址池信息不能实时备份到备设备上,为防止主备切换后出现 IP 地址分配冲突,主设备和备设备上配置的地址池必须要互相排除。
[SwitchA] ip pool 1
[SwitchA-ip-pool-1] network 10.1.1.0 mask 255.255.255.0
[SwitchA-ip-pool-1] gateway-list 10.1.1.111
[SwitchA-ip-pool-1] excluded-ip-address 10.1.1.1
[SwitchA-ip-pool-1] excluded-ip-address 10.1.1.129 10.1.1.254
[SwitchA-ip-poo1-1] lease day 10
[SwitchA-ip-pool-1] quit
# 在 SwitchB 上启动 DHCP 服务
<HUAWEI> system-view
[HUAWEI] sysname SwitchB
[SwitchB] dhcp enable
# 在 SwitchB 上创建地址池,配置地址池范围是 10.1.1.130~10.1.1.254,和 SwitchA 上配置的地址池地址互相排除
[SwitchB] ip pool 1
[SwitchB-ip-poo1-1]network 10 .1 .1 .0 mask 255.255 .255 .0
[SwitchB-ip-poo1-1]gateway-list 10.1.1.111
[SwitchB-ip-poo1-1]excluded-ip-address 10.1.1.1 10.1.1.110
[SwitchB-ip-pool-1]excluded-ip-address 10.1.1.112 10.1.1.129
[SwitchB-ip-pool-1]lease day 10
[SwitchB-ip-pool-1] quit
3、配置 VRRP备份组
# 在SwitchA上创建 VRRP 备份组 1,配置 SwitchA 在该备份组中的优先级为 120,并配置客户端从全局地址池中获取 IP 地址。
[SwitchAl interface vlanif 100
[SwitchA-Vlanif100] vrrp vrid 1 virtual-ip 10.1.1.111
[SwitchA-Vlanif100] vrrp vrid 1 priority 120
[SwitchA-Vlanif100] dhcp select global
[SwitchA-Vlanif100] quit
# 在 SwitchB 上创建 VRRP 备份组 1,其在该备份组中的优先级为缺省值 100,并配置客户端从全局地址池中获取 IP 地址。
[SwitchB] interface vlanif 100
[SwitchB-Vlanif100] vrrp vrid 1 virtual-ip 10.1.1.111
[SwitchB-Vlanif100] dhcp select global
[SwitchB-Vlanif100] quit
4、配置 STP 协议,实现破除环路
# 在 Switch 上全局使能 STP 功能,SwitchA和 SwitchB 的配置与之类似
[Switch] stp enable
# 在 Switch 的 GEO/0/3 接口上去使能 STP 并将端口 GEO/0/1 的路径开销值配置为 20000.
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 100
[Switch-GigabitEthernet0/0/3] stp disable
[Switch-GigabitEthernet0/0/3] quit
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] stp cost 20000
[Switch-GigabitEthernet0/0/1] quit


4.配置DHCP客户端


思路:


1、在 SwitchA上使能 DHCP 客户端功能,实现 SwitchA 可以从 DHCP 服务器动态获取 IP 地址。

2、在 SwitchB 上创建 DHCP 服务器的全局地址池并配置相关属性。


在SwitchA上配置DHCP的客户端


SwitchA 上配置 DHCP 客户端功能
1、创建 VLAN10 并将 GEO/0/1 接口加入到 VLAN10 中
<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] vlan 10
[SwitchA-vlan10] quit
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] port link-type trunk
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[SwitchA-GigabitEthernet0/0/1] quit
2、在 VLANIE10 接口上使能 DHCP 客户端功能
[SwitchA] interface vlanif 10
[SwitchA-Vlanif10] ip address dhcp-alloc    //通过 HDCP 自动获取接口 IP地址

在SwitchB上创建DHCP服务器的全局地址池


在 SwitchB 上创建 DHCP 服务器的全局地址池并配置相关属性
1、使能 DHCP 服务。
<HUAWEI>system view
HUAWE I]sysname SwitchB
[ SwitchB] dhcp enable
2、创建 VIAN10 并将 GE0/0/1 接口加入到 VLAN10 中。
[SwitchB] vlan 10
[SwitchB-vlan10] quit
[SwitchB] interface gigabitethernet 0/0/1
[SwitchB-GigabitEthernet0/0/1] port link-type trunk
[SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
[SwitchB-GigabitEthernet0/0/1] quit
3、配置 VLANIE10 接口工作在全局地址池模式。
[SwitchB] interface vlanif 10
[SwitchB-Vlanif10] ip address 192.168.1.1 24
[SwitchB-Vlanif10] dhcp select global    //全局地址池获取 IP 地址
[SwitchB-Vlanif10]quit
创建地址池并配置相关属性。
[SwitchB] ip pool pool1
[SwitchB-ip-pool-poo11]network 192.168 .1.0 mask 24
[SwitchB-ip-pool-poo11]gateway-list 192.168.1.126
[SwitchB-ip-pool-poo11]dns-list 192.168.1.2
[SwitchB-ip-pool-pool1] quit


5.DHCP snooping(网关防假冒)配置

DHCP Snooping 是 DHCP 的一种安全特性,用于保证 DHCP 客户端从合法的 DHCP 服务器获取 IP 地址,并记录 DHCP 客户端IP 地址与MAC地址等参数的对应关系,防止网络上针对 DHCP 攻击。


常用配置


1.在系统视图执行命令 dhcp enable 开启 DHCP 服务

2.在系统视图执行命令 dhcp snooping enable 开启 DHCP Snooping 功能


3.在接口或者VLAN 视图执行命令dhcp snooping enable 开启接口或VIAN 的dhcp snooping功能;

4.把连接合法 DHCP 服务器的接口配置为信任接口,在接口下执行命令 dhcp snooping trusted把接口配置为信任接口,在 VLAN 视图下面执行 dhcp snooping trusted interface


interface-type interface-number 配置接口为信任接口。


如图所示,公司内网(VLAN10) 都是通过路由器动态分配地址上网的,在路由器上只做了对内网的192.168.1.0/24网段做地址转换,保证只有这个网段能正常上网;但是由于公司的员工在交换机下面私自接小路由器并开启小路由器的DHCP功能,导致内网其他用户无法正常上网,为了制止这种情况,只有在交换机上面配置DHCP仿冒功能,确保下面用户只从合法的DHCP服务器获取地址。

思路:


交换机接口和 VIAN 配置

开启交换机的 DHCP Snooping 功能;

把连接合法 DHCP 服务器的接口配置为信任接口;


交换机接口和 VLAN 配置
#创建 VLAN10,并把接口 GEO/0/3 和 GEO/0/4 加入到 VAN10
<Huawei> system-view
[Huawei] vlan batch 10
[Huawei] interface GigabitEthernet 0/0/3
[Huawei-GigabitEthernet0/0/3] port link-type access
[Huawei-GigabitEthernet0/0/3] port default vlan 10
[Huawei] interface GigabitEthernet 0/0/4
[Huawei-GigabitEthernet0/0/4] port link-type access
[Huawei-GigabitEthernet0/0/4] port default vlan 10
#配置连接路由器的接口为trunk,并透传VIAN10
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] port link-type access
[Huawei-GigabitEthernet0/0/1] port default vlan 10
开启交换机的 DHCP Snooping 功能
<Huawei> system view
[Huawei]dhcp enable
[Huawei]dhcpsnooping enable
#开启交换机用户侧接口的 dhcp snooping 功能
[Huawei] interface cigabitEthernet 0/0/3
[Huawei-GigabitEthernet0/0/3] dhcp snooping enable
[Huawei] interface GigabitEthernet 0/0/4
[Huawei-GigabitEthernet0/0/4] dhcp snooping enable
配置交换机连接合法 DHCP 服务器的接口为信任接口,其他的接口默认为非信任接口
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] dhcp snooping trusted
[Huawei-GigabitEthernet0/0/1] quit
配置完之后需要保存配置
<Huawei> save


6.IPSG(IP+MAC绑定)配置

IPSG 功能是基于绑定表(DHCP 动态和静态绑定表)对 IP 报文进行匹配检查。当设备在转发 IP 报文时,将此IP 报文中的源 IP、源 MAC、接口、VIAN 信息和绑定表的信息进行比较,如果信息匹配,表明是合法用户,则允许此报文正常转发,否则认为是攻击报文,并丢弃该 IP 报文。


常用配置命令


1.静态绑定表配置(客户端非 DHCP 获取地址)

•配置静态用户绑定表项,执行命令user-bind static ip-address ip-address


mac-address mac-address interface interface-type-number vlan vlan-id,四个参数ip-address、mac-address、interface-type-number 和vlan-id 四者任意组合;

•执行命令ip source check user-bind enable,在接口或者 VIAN 视图下,使能接口或VIAN 的 IP 报文检查功能。

2.动态绑定表配置(客户端通过 DHCP 获取地址)

•执行命令dhcp enable,全局使能 DHCP 功能(在配置 DHCP Snooping各安全功能之前需首先使能 DHCP Snooping 功能) ;


•执行命令 dhcp snooping enable,全局使能 DHCP Snooping 功能;

•执行命令 dhcp snooping enable,在接口或 VLAN 下使能 DHCP Snooping 功能:

•执行命令dhcp snooping trusted,在接口或者VLAN 下配置连接 DHCP Server 的接口为信任接口;使能 DHCP Snooping 功能后,接口默认为非信任状态

•执行命令ip source check user-bind enable,在接口或 VLAN视图下使能IP 报文检查功能。


1.配置IPSG防止主机私自更改IP地址(静态绑定)

如图所示,Host 通过 Switch 接入网络,Gateway 为企业出口网关,各Host 均使用静态配置的 IP 地址。管理员希望 Host 使用管理员分配的固定 IP地址上网,不允许私自更改 IP 地址非法获取网络访问权限。



思路:


1.在 Switch 上配置 Host_1 和 Host_2 的静态绑定表,固定 IP 和 MAC 的绑定关系


2.在Switch连接用2户主机的接口使能IPSG,实现 Host 只能使用管理员分配的固定 IP 地址上网


(1)创建Host_1和Host_2的静态绑定表项
1.创建 Host_1 和 Host_2 的静态绑定表项
Switch>system view
10.0.0.1 mac-address 0001-0001-0001[ Switch]user-bind static ip address[Switch]user-bind static ip-address 10.0.0.11 mac-address 0002-0002-0002
2.在接口使能IPSG功能
#在连接Host_1的GE1/0/1接口使能IP报文检查功能
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] ip source check user-bind enable
[Switch-GigabitEthernet1/0/1] quit
# 在连接 Host_2的 GE1/0/2 接口使能 IP 报文检查功能:
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] ip source check user-bind enable
[Switch-GigabitEthernet1/0/2] quit
(2)在接口使能IPSG功能


#在连接 Host 1 的 GE1/0/1 接口使能 IP 报文检查功能;
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] ip source checkuser bind enable
[Switch-GigabitEthernet1/0/1] quit
# 在连接 Host 2 的 GE1/0/2 接口使能 IP 报文检查功能:
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] ip source check user-bind enable
[Switch-GigabitEthernet1/0/2]quit

2.配置IPSG防止主机私自更改IP地址示例(DHCP Snooping动态绑定)

如图所示,Host 通过 Switch_1 接入网络,Switch_2 作为 DHCP Server 为 Host 动态分配 IP 地址,Gateway 为企业出口网关。管理员希望 Host 使用动态分配的地址,不允许私自配置静态 IP 地址,如果私自指定 IP 地址将无法访问网络。



思路:


1.在 Switch 2 上配置 DHCP Server 功能(假设地址池为 10.1.1.0/24),为 Host 动态分配

IP 地址。


2.在 Switch 1 上配置 DHCP Snooping 功能,保证 Host 从合法的 DHCP Server 获取IP 地址同时生成 DHCP Snooping 动态绑定表,记录 Host 的 IP 地址、MAC 地址、VLAN、接口的绑定关系


3.在 Switc_1 连接Host 的VLAN 上使能 IPSG 功能,防止 Host 通过私自配置 IP 地址的方式访问网络。


1.在 Switch 2 上配置 DHCP Server 功能
<HUAWEI>system-view
[HUAWEI] sysname Switch_2
[Switch 2] vlan batch 10
[Switch 2] interface gigabitethernet 1/0/1 //配置接口 1/0/1为trunk类型,并允许 lan10 通过
[Switch 2-GigabitEthernet1/0/1] port link-type trunk
[Switch 2-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
[Switch 2-GigabitEthernet1/0/1] quit
[Switch 2] dhcp enable//开启 DHCP 功能
[Switch 2] ip pool 10 //配置地址池方式的 DHCP Server
[switch 2-ip-pool-10]network 10.1.1.0 mask 24
[Switch 2-ip-pool-10]gateway-list 10.1.1.1
[Switch 2-ip-poo1-10]quit
[Switch 2] interface vlanif 10 //配置 VIAN10 的网关地址
[Switch 2-Vlanif10] ip address 10.1.1.1 255.255.255.0
[Switch 2-Vlanif10] dhcp select global //配置 DHCP 服务器基于全局的地址池下发IP地址等信息
[Switch 2-Vlanif10] quit
2.在 Switch 1 上配置 DHCP Snooping 功能
#配置各接口所属 VLAN
<HUAWEI> system-view
[HUAWEI] sysname Switch_1
[Switch 1] vlan batch 10
[Switch 1] interface gigabitethernet 1/0/1    //配置接口 1/0/1为 access 模式,并把接口加入到 VIAN10
[Switch 1-GigabitEthernet1/0/1] port link-type access
[Switch 1-GigabitEthernet1/0/1] port default vlan 10
[Switch 1-GigabitEthernet1/0/1] quit
[Switch 1] interface gigabitethernet 1/0/2
[Switch 1-GigabitEthernet1/0/2] port link-type access
[Switch 1-GigabitEthernet1/0/2] port default vlan 10
[Switch 1-GigabitEthernet1/0/2] quit
[Switch 1] interface gigabitethernet 1/0/3//配置接口 1/0/3 为 runk 模式,并允许 VIAN10 通过
[Switch 1-GigabitEthernet1/0/3] port link-type trunk
[Switch 1-GigabitEthernet1/0/3] port trunk allow-pass vlan 10
[Switch 1-GigabitEthernet1/0/3] quit
# 使能DHCP Snooping 功能,并将连接 DHCP Server 的 GE1/0/3 接口配置为信任接口。
[Switch 1]dhcp enable//使能 DHCP 功能
[Switch 1]dhcp snooping enable
//使能 DHCP Snooping 功能
//开启 vlan 去的 dhcp snooping 功能,并把接口 g1/0/3 配置为[Switch 1] vlan 10信任接口
[Switch 1-vlan10] dhcp snooping enable
[Switch 1-vlan10] dhcp snooping trusted interface gigabitethernet 1/0/3
3.在 Switch 1的 VLAN10 上使能 IPSG 报文检查功能
[Switch 1-vlan10] ip source check user-bind enable
[Switch 1-vlan10] quit


3.配置IPSG限制非法主机访问内网示例(静态绑定)

如图所示,Host 通过 Switch 接入网络,Gateway 为企业出口网关,各 Host 均使用静态配置 的 IP 地址。管理员在 Switch 上做了接口限速,希望 Host 使用管理员分配的固定 IP 地址、从固定的接 口上线。同时为了安全考虑,不允许外来人员的电脑随意接入内网。



思路:


1.在 Switch 上配置冬接口所属 VIAN。

2.在 Switch 上创建 Host_1和 Host_2 的静态绑定表项,固定 IP 地址、MAC 地址、接口的绑定关系。

3.在 Switch 上配置 GE1/0/4 为信任接口,从该接口收到的报文不执行 IPSG 检查,防止从Gateway 回程报文被丢弃。

4.在Switch 连接用户主机的 VLAN 上使能 IPSG 功能,实现 Host_1、Host_2 使用固定的IP 地址、从固定的接口上线,并且外来主机 Host_3 无法随意接入内网。


1.配置各接口所属 VLAN
<Switch> system-view
[Switch] vlan batch 10
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access
[Switch-GigabitEthernet1/0/1] port default vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port default vlan 10[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] port link-type access
[Switch-GigabitEthernet1/0/3] port default vlan 10[Switch-GigabitEthernet1/0/3] quit
[Switch] interface gigabitethernet 1/0/4
[Switch-GigabitEthernet1/0/4] port link-type trunk
[Switch-GigabitEthernet1/0/4] porttrunk allow-pass vlan 10
[Switch-GigabitEthernet1/0/4] quit
2.创建 Host 1 和 Host 2 的静态绑定表项
[Switch] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface gigabitethernet 1/0/1
[Switch] user-bind static ip-address 100.0.0.2 mac-address 0002-0002-0002 interface gigabitethernet 1/0/2
3.配置上行口 GE1/0/4 为信任接口
[Switch] dhcp enable
[Switch]dhcp snooping enable
[Switch] interface gigabitethernet 1/0/4
[Switch-GigabitEthernet1/0/4] dhcp snooping trusted
[Switch-GigabitEthernet1/0/4] quit
4.在连接 Host 的 VLAN10 上使能 IPSG 功能
[Switch] vlan 10
[Switch-vlan10] ip source check user-bind enable
[Switch-vlan10] quit
目录
相关文章
|
1月前
|
安全 网络协议 网络安全
Cisco-DHCP配置
Cisco-DHCP配置
|
1月前
|
安全 小程序 网络安全
Cisco-DHCP中继配置
Cisco-DHCP中继配置
|
2月前
|
Linux
kickstart自动安装系统 --DHCP 配置及测试
PXE+Kickstart自动安装系统需配置DHCP服务器分配IP。dhcpd.conf示例:设置更新样式、忽略客户端更新、指定下一服务器及启动文件。定义子网、网关、掩码、动态地址池并预留特定MAC地址。重启xinetd、NFS、DHCP服务,确保新服务器与Kickstart服务器在同一网络,避免误装其他机器。注意隔离测试网络以防干扰生产环境。
80 18
|
3月前
|
安全 Ubuntu 网络协议
在Linux中,如何配置DHCP服务器?
在Linux中,如何配置DHCP服务器?
|
4月前
|
网络协议 Linux 开发工具
配置Linux固定IP地址,为什么要固定IP,因为他是通DHCP服务获取的,DHCP服务每次重启都会重新获取一次ip,VMware编辑中有一个虚拟网络编辑器
配置Linux固定IP地址,为什么要固定IP,因为他是通DHCP服务获取的,DHCP服务每次重启都会重新获取一次ip,VMware编辑中有一个虚拟网络编辑器
|
5月前
|
Ubuntu
ubuntu 开启dhcp服务并配置
ubuntu 开启dhcp服务并配置
334 2
|
6月前
|
网络架构
Ensp DHCP 接口地址池(配置命令)
Ensp DHCP 接口地址池(配置命令)
221 1
|
6月前
|
网络协议 网络安全 数据库
DHCP的interface(接口),global(全局)配置以及DHCP relay(中继),DHCP snooping,DHCP option
DHCP的interface(接口),global(全局)配置以及DHCP relay(中继),DHCP snooping,DHCP option
113 0
|
网络协议 Linux 应用服务中间件
2022红帽企业版网络配置--centos7配置DHCP DNS绑定域名 FTP HTTP(apache) nginx samba
2022红帽企业版网络配置--centos7配置DHCP DNS绑定域名 FTP HTTP(apache) nginx samba
215 0