怎么能让电脑只获取 VLAN 10的动态IP,不能自己手动配置 VLAN 10的地址
使用arp detection+dhcp Snooping实现:
ARP Detection功能主要应用于接入设备上,对于合法用户的ARP报文进行正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的攻击。
根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在接口上的合法用户,包括基于用户合法性规则检查、IP Source Guard静态绑定表项的检查和基于DHCP Snooping表项的检查
举例:
组网:dhcp server(router)-----G1/0/13交换机(switch)G1/0/1-----PC群
<RouterA> system-view
[RouterA] dhcp enable
[RouterA] dhcp server ip-pool 0
[RouterA-dhcp-pool-0] network 10.1.1.0 mask 255.255.255.0
# 启用DHCP Snooping功能。
<switch> system-view
[ switch ] dhcp snooping enable
[ switch ] interface gigabitethernet 1/0/3
[ switch -GigabitEthernet1/0/3] dhcp snooping trust
[ switch -GigabitEthernet1/0/3] quit
# 在接口GigabitEthernet1/0/1上启用DHCP Snooping表项记录功能。
[ switch ] interface gigabitethernet 1/0/1
[ switch -GigabitEthernet1/0/1] dhcp snooping binding record
[ switch -GigabitEthernet1/0/1] quit
# 开启ARP Detection功能,对用户合法性进行检查。
[ switch ] vlan 10
[ switch -vlan10] arp detection enable
# 接口状态缺省为非信任状态,上行接口配置为信任状态,下行接口按缺省配置。
[RouterB-vlan10] interface gigabitethernet 1/0/3
[RouterB-GigabitEthernet1/0/3] arp detection trust
答案来自于 风干工程师肉干要不要
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作