交换机ARP防止欺骗攻击
- 0关注
- 1收藏,1288浏览
问题描述:
测试PC连接到G1/0/2
修改PC的MAC后,网络还是可以正常通信,PING网关也是可以通,为什么没有限制住
配置如下:
核心交换机配置:
1、开启核心设备的DHCP服务功能
<SwitchA> system-view
[SwitchA] dhcp enable
2、创建核心设备的IP地址,即用户的网关地址
[SwitchA] interface Vlan-interface 1
[SwitchA-Vlan-interface1] ip address 192.168.1.254 255.255.255.0
[SwitchA-Vlan-interface1]quit
3、创建核心设备的DHCP地址池
[SwitchA] dhcp server ip-pool vlan1
[SwitchA -dhcp-pool-0] network 192.168.1.0 mask 255.255.255.0
[SwitchA-dhcp-pool-0] dns-list 218.85.157.99
[SwitchA-dhcp-pool-0] gateway-list 192.168.1.254
[SwitchA-dhcp-pool-0]end
<SwitchA>save
接入交换机配置:
1、在接入交换机上开启dhcp snooping功能
<SwitchB> system-view
[SwitchB] dhcp snooping enable
2、连接DHCP服务器的接口配置为可信任口
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] dhcp snooping trust 文(offer、ACK)
3、在G1/0/2和G1/0/3上开启DHCP Snooping表项记录功能。
[SwitchB] int range g1/0/2 to g 1/0/3
[SwitchB-if-range]dhcp snooping binding record
[SwitchB-if-range] quit
4、连接用户的接口开启IP Source Guard功能
[SwitchB]int range g1/0/2 to g1/0/3
[SwitchB-if-range] ip verify source ip-address mac-address
5 、连接用户的接口开启ARP Detection功能
# 接口状态缺省为非信任状态,上行接口配置为信任状态,下行接口按缺省配置。
[SwitchB] interface GigabitEthernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] arp detection trust
[SwitchB-GigabitEthernet1/0/1]quit
# 开启ARP Detection功能,对用户合法性进行检查。
[SwitchB] vlan 1
[SwitchB -vlan1] arp detection enable
[SwitchB -vlan1]quit
# 配置进行报文有效性检查。
[SwitchB] arp detection validate ip src-mac
组网及组网描述:
- 2019-05-18提问
- 举报
-
(0)
arp detection 功能跟 ip verify source 功能是一样的,
可以先把接口下的ip verify source取消, 只单独用arp detection 功能。 然后去测试,
display dhcp-snooping 先看看设备上记录的测试电脑的表项是多少
然后再去改mac地址测试,一定要保证mac地址改成功了, 可以通过dis mac查看
- 2019-05-18回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论