|
|
 |
|
|
| 1. 解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING |
  |
|
 |
|
HP : 0 / 98
MP : 12 / 1091
EXP : 94%
|
|
江湖游客
成员等级: 4
发表总数: 38
金币总数: 64
所属组别: 普通成员
注册日期: 2005/03/25
|
使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING功能。
例子:
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service compress-config
!
hostname C4-2_4506
!
enable password xxxxxxx!
clock timezone GMT 8
ip subnet-zero
no ip domain-lookup
!
ip dhcp snooping vlan 180-181 // 对哪些VLAN 进行限制
ip dhcp snooping
ip arp inspection vlan 180-181
ip arp inspection validate src-mac dst-mac ip
errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause l2ptguard
errdisable recovery cause psecure-violation
errdisable recovery cause gbic-invalid
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause unicast-flood
errdisable recovery cause vmps
errdisable recovery cause arp-inspection
errdisable recovery interval 30
spanning-tree extend system-id
!
!
interface GigabitEthernet2/1 // 对该端口接入的用户进行限制,可以下联交换机
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100
!
interface GigabitEthernet2/2
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100
!
interface GigabitEthernet2/3
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100
!
interface GigabitEthernet2/4
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100
--More-- |
|
|
|
| 2. Re:解决IP地址冲突的完美方法(管理除外)!! |
|
|
|
|
|
HP : 0 / 98
MP : 12 / 1091
EXP : 94%
|
|
江湖游客
成员等级: 4
发表总数: 38
金币总数: 64
所属组别: 普通成员
注册日期: 2005/03/25
|
没有人回复,遗憾!
我来简单介绍一下这个解决方案的来历:
我是某个高校的网络管理员( 假假的 ),我校所有学生宿舍区、教学区都使用了CISCO的设备接入了网络(有 8台 CISCO6509 , 2台CISCO 7613 ,30多台的CISCO 4506 , 二百多台的各系列的CISCO2950 ,学生入网数目 > 10000 ),与其他人的问题一样,我们的最大问题就IP地址冲突的问题,以前我们的解决办法是在2950上把IP与端口绑定,但是,在2004年的时候,我们又购买了一大批的CISCO2950T-48-SI,而这些设备不支持二层的ACL,所以上述的方法失效了。
就这个问题,我们和网络集成商、思科的技术人员讨论了许久的以求解决方案,虽然他们好几个都是什么CCIE的,但就是没有什么好的方案。直到在04年底我参加了思科在北京的用户大会,与思科总部的一个鬼佬CCIE讨论,他给出了上诉的解决方案。回来后立即实施,效果非常理想。
没有白白浪费我去北京的银两( ^-^ 思科提供的 ); |
|
|
|
| 3. Re:解决IP地址冲突的完美方法(管理除外)!! |
|
|
 |
|
HP : 0 / 523
MP : 190 / 8560
EXP : 93%
|
|
名动江湖
成员等级: 21
发表总数: 570
金币总数: 899
所属组别: 高级成员
注册日期: 2003/06/4
|
你的这个方式适用用部分不需要特定ip地址的场合,向我们的情况要依据ip地址作部分的验证就没有办法适用这个东西了 |
|
|
|
| 4. Re:解决IP地址冲突的完美方法(管理除外)!! |
|
|
|
|
|
HP : 0 / 412
MP : 117 / 6480
EXP : 51%
|
|
名动江湖
成员等级: 17
发表总数: 352
金币总数: 714
所属组别: 中级成员
注册日期: 2003/08/25
|
解释一下各个命令的意思、还有安排吧。 |
|
|
|
| 5. Re: Re:解决IP地址冲突的完美方法(管理除外)!! |
|
|
 |
|
HP : 108 / 1085
MP : 1090 / 19007
EXP : 41%
|
|
江湖游客
成员等级: 44
发表总数: 3271
金币总数: 941
所属组别: 核心成员
注册日期: 2003/01/10
|
支持原创
附加点资料
 |
下载附件 |
| Dynamic_ARP_Inspection.pdf ( 下载次数: 890 ) |
|
|
|
|
| 6. Re:解决IP地址冲突的完美方法(管理除外)!! |
|
|
|
|
|
HP : 108 / 1085
MP : 1090 / 19007
EXP : 41%
|
|
江湖游客
成员等级: 44
发表总数: 3271
金币总数: 941
所属组别: 核心成员
注册日期: 2003/01/10
|
感兴趣可以再搜索一下IP SOURCE GUARD
www.cisco.com |
|
|
|
| 7. Re:解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING... |
|
|
|
|
|
HP : 243 / 1219
MP : 1501 / 21351
EXP : 77%
|
|
测试中......
成员等级: 49
发表总数: 4504
金币总数: 297
所属组别: 核心成员
注册日期: 2003/01/10
|
加精华鼓励.
楼主或其他感兴趣的NBOer进一步讨论.
 |
|
|
|
| 8. Re:解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING... |
|
|
|
|
|
HP : 108 / 1085
MP : 1090 / 19007
EXP : 41%
|
|
江湖游客
成员等级: 44
发表总数: 3271
金币总数: 941
所属组别: 核心成员
注册日期: 2003/01/10
|
IP Source Guard
Similar to DHCP snooping, this feature is enabled on a DHCP snooping untrusted Layer 2 port. Initially, all IP traffic on the port is blocked except for DHCP packets that are captured by the DHCP snooping process. When a client receives a valid IP address from the DHCP server, or when a static IP source binding is configured by the user, a per-port and VLAN Access Control List (PACL) is installed on the port. This process restricts the client IP traffic to those source IP addresses configured in the binding; any IP traffic with a source IP address other than that in the IP source binding will be filtered out. This filtering limits a host's ability to attack the network by claiming neighbor host's IP address.
|
|
|
|
| 9. Re:解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING... |
|
|
 |
|
HP : 0 / 114
MP : 15 / 1580
EXP : 59%
|
|
江湖小虾
成员等级: 5
发表总数: 46
金币总数: 52
所属组别: 普通成员
注册日期: 2004/04/25
|
好办法,收藏~~~~ |
|
|
|
| 10. Re: Re:解决IP地址冲突的完美方法(管理除外)!! |
|
|
|
|
|
HP : 0 / 98
MP : 12 / 1091
EXP : 94%
|
|
江湖游客
成员等级: 4
发表总数: 38
金币总数: 64
所属组别: 普通成员
注册日期: 2005/03/25
|
你的这个方式适用用部分不需要特定ip地址的场合,向我们的情况要依据ip地址作部分的验证就没有办法适用这个东西了 !
有了第一步,第二步就简单了。
“有的IP需要固定”可以有这种方法解决,如果需要固定的计算机不多,可以针对每台计算机启一个32位掩码的VLAN,一个为计算机IP,一个为网关IP,然后在DHCP服务器上把IP的租约期设为永不过期。
就可以了,其实把所有的计算机IP的租约期设长,不就相当于固定IP了。 |
|
|
|
| 11. Re:解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING... |
|
|
|
|
|
HP : 0 / 523
MP : 190 / 8560
EXP : 93%
|
|
名动江湖
成员等级: 21
发表总数: 570
金币总数: 899
所属组别: 高级成员
注册日期: 2003/06/4
|
IP Source Guard应该建立在每个交换机端口只能接一个pc的基础上吧?
| QUOTE | “有的IP需要固定”可以有这种方法解决,如果需要固定的计算机不多,可以针对每台计算机启一个32位掩码的VLAN,一个为计算机IP,一个为网关IP,然后在DHCP服务器上把IP的租约期设为永不过期。
就可以了,其实把所有的计算机IP的租约期设长,不就相当于固定IP了。 |
我的固定ip是所有的pc都需要,问题是我需要把ip地址和使用人对应起来,使用dhcp我没办法确定某个地址到底是谁在使用。
“DHCP服务器上把IP的租约期设为永不过期”为什么要“针对每台计算机启一个32位掩码的VLAN”?
不知道dhcp有没有办法可以根据某种要素来分配ip,例如用户、机器名等等。这样我就可以控制某人分配某个ip,而且未经dhcp分配的不能正常使用 |
|
|
|
| 12. Re:解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING... |
|
|
|
|
|
HP : 0 / 98
MP : 12 / 1091
EXP : 94%
|
|
江湖游客
成员等级: 4
发表总数: 38
金币总数: 64
所属组别: 普通成员
注册日期: 2005/03/25
|
| QUOTE | “DHCP服务器上把IP的租约期设为永不过期”为什么要“针对每台计算机启一个32位掩码的VLAN”?
|
这样他就肯定改不了IP了。
DHCP 可以根据MAC地址来分配IP, 但我认为你肯定不会这么做的。 ^-^
我们的方法是自己开发了一套系统,去获取当前哪个IP是从哪个交换机的端口接入的(前提是我们的交换机端口与用户是一一对应的),这样就可以做到IP地址与用户对应了。
我们的系统也可以自动收集在线用户的MAC地址 与 IP对应关系 。
你的问题肯定是有解决方法的,只是可能没有想到罢了。 |
|
|
|
| 13. Re:解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING... |
|
|
|
|
|
HP : 0 / 523
MP : 190 / 8560
EXP : 93%
|
|
名动江湖
成员等级: 21
发表总数: 570
金币总数: 899
所属组别: 高级成员
注册日期: 2003/06/4
|
如果是这样的话,那就和是否使用dhcp没有关系了
| QUOTE | | DHCP 可以根据MAC地址来分配IP, 但我认为你肯定不会这么做的。 ^-^ |
没错,这个没有必要,如果能够知道某个mac是谁所有,那我根本就不管它了,我可以通过技术手段知道哪个ip是非法的,只要看arp表,就能看到这个非法ip是谁在使用了
| QUOTE |
我们的方法是自己开发了一套系统,去获取当前哪个IP是从哪个交换机的端口接入的(前提是我们的交换机端口与用户是一一对应的),这样就可以做到IP地址与用户对应了。
|
关键我们做不到每个交换机端口接一个pc,否则非法ip的东西很好解决,你们教育网好奢侈?每个学生都能接一个交换机端口吗?我们公司都作不到这一点 |
|
|
|
| 14. Re: 解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING |
|
|
 |
|
HP : 0 / 78
MP : 9 / 925
EXP : 12%
|
|
江湖游客
成员等级: 4
发表总数: 29
金币总数: 49
所属组别: 普通成员
注册日期: 2004/12/21
|
虽然看不太明白,不过还是要顶一下 |
|
|
|
| 15. Re:解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING... |
|
|
|
|
|
HP : 108 / 1085
MP : 1090 / 19007
EXP : 41%
|
|
江湖游客
成员等级: 44
发表总数: 3271
金币总数: 941
所属组别: 核心成员
注册日期: 2003/01/10
|
| QUOTE | | 关键我们做不到每个交换机接一个pc,否则非法ip的东西很好解决,你们教育网怎么这么奢侈?每个学生都能接一个交换机端口吗?我们公司都作不到这一点 |
哪里提到了每台交换机只接一台PC?
针对固定ip同样适用,再说在dhcp server上针对做一些ip分配的规则也容易。
看清楚文档再说吧。 |
|
|
|
| 16. Re:解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING... |
|
|
|
|
|
HP : 0 / 523
MP : 190 / 8560
EXP : 93%
|
|
名动江湖
成员等级: 21
发表总数: 570
金币总数: 899
所属组别: 高级成员
注册日期: 2003/06/4
|
我是看清楚了,  请看:
| QUOTE | | xiang8048说:前提是我们的交换机端口与用户是一一对应的 |
|
|
|
|
| 17. Re:解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING... |
|
|
|
|
|
HP : 108 / 1085
MP : 1090 / 19007
EXP : 41%
|
|
江湖游客
成员等级: 44
发表总数: 3271
金币总数: 941
所属组别: 核心成员
注册日期: 2003/01/10
|
不是交换机端口与用户一一对应么?
|
|
|
|
| 18. Re:解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING... |
|
|
|
|
|
HP : 0 / 523
MP : 190 / 8560
EXP : 93%
| | |
