UNIX相关
|
微软世家
|
网络世界
|
网站首页 |
| 解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING | 作者:xiang8048 | 时间:2005/04/06 21:34:07 | ||||||
使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING功能。 例子: version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption service compress-config ! hostname C4-2_4506 ! enable password xxxxxxx! clock timezone GMT 8 ip subnet-zero no ip domain-lookup ! ip dhcp snooping vlan 180-181 // 对哪些VLAN 进行限制 ip dhcp snooping ip arp inspection vlan 180-181 ip arp inspection validate src-mac dst-mac ip errdisable recovery cause udld errdisable recovery cause bpduguard errdisable recovery cause security-violation errdisable recovery cause channel-misconfig errdisable recovery cause pagp-flap errdisable recovery cause dtp-flap errdisable recovery cause link-flap errdisable recovery cause l2ptguard errdisable recovery cause psecure-violation errdisable recovery cause gbic-invalid errdisable recovery cause dhcp-rate-limit errdisable recovery cause unicast-flood errdisable recovery cause vmps errdisable recovery cause arp-inspection errdisable recovery interval 30 spanning-tree extend system-id ! ! interface GigabitEthernet2/1 // 对该端口接入的用户进行限制,可以下联交换机 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/2 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/3 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/4 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 --More-- |
||||||||
| Re:解决IP地址冲突的完美方法(管理除外)!! | 作者:xiang8048 | 时间:2005/04/06 21:57:50 | ||||||
没有人回复,遗憾! 我来简单介绍一下这个解决方案的来历: 我是某个高校的网络管理员( 假假的 ),我校所有学生宿舍区、教学区都使用了CISCO的设备接入了网络(有 8台 CISCO6509 , 2台CISCO 7613 ,30多台的CISCO 4506 , 二百多台的各系列的CISCO2950 ,学生入网数目 > 10000 ),与其他人的问题一样,我们的最大问题就IP地址冲突的问题,以前我们的解决办法是在2950上把IP与端口绑定,但是,在2004年的时候,我们又购买了一大批的CISCO2950T-48-SI,而这些设备不支持二层的ACL,所以上述的方法失效了。 就这个问题,我们和网络集成商、思科的技术人员讨论了许久的以求解决方案,虽然他们好几个都是什么CCIE的,但就是没有什么好的方案。直到在04年底我参加了思科在北京的用户大会,与思科总部的一个鬼佬CCIE讨论,他给出了上诉的解决方案。回来后立即实施,效果非常理想。 没有白白浪费我去北京的银两( ^-^ 思科提供的 ); |
||||||||
| Re:解决IP地址冲突的完美方法(管理除外)!! | 作者:iwanthome | 时间:2005/04/06 22:27:07 | ||||||
你的这个方式适用用部分不需要特定ip地址的场合,向我们的情况要依据ip地址作部分的验证就没有办法适用这个东西了 |
||||||||
| Re:解决IP地址冲突的完美方法(管理除外)!! | 作者:abracadabra | 时间:2005/04/06 22:49:47 | ||||||
解释一下各个命令的意思、还有安排吧。 |
||||||||
| Re: Re:解决IP地址冲突的完美方法(管理除外)!! | 作者:大勇 | 时间:2005/04/06 23:14:50 | ||||||
支持原创 附加点资料 |
||||||||
| Re:解决IP地址冲突的完美方法(管理除外)!! | 作者:大勇 | 时间:2005/04/06 23:15:48 | ||||||
| Re:解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING... | 作者:bug | 时间:2005/04/06 23:49:50 | ||||||
加精华鼓励. 楼主或其他感兴趣的NBOer进一步讨论. |
||||||||
| Re:解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING... | 作者:大勇 | 时间:2005/04/07 00:01:38 | ||||||
IP Source Guard Similar to DHCP snooping, this feature is enabled on a DHCP snooping untrusted Layer 2 port. Initially, all IP traffic on the port is blocked except for DHCP packets that are captured by the DHCP snooping process. When a client receives a valid IP address from the DHCP server, or when a static IP source binding is configured by the user, a per-port and VLAN Access Control List (PACL) is installed on the port. This process restricts the client IP traffic to those source IP addresses configured in the binding; any IP traffic with a source IP address other than that in the IP source binding will be filtered out. This filtering limits a host's ability to attack the network by claiming neighbor host's IP address. |
||||||||
| Re:解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING... | 作者:yangfs | 时间:2005/04/07 01:22:38 | ||||||
好办法,收藏~~~~ |
||||||||
| Re: Re:解决IP地址冲突的完美方法(管理除外)!! | 作者:xiang8048 | 时间:2005/04/07 08:15:11 | ||||||
你的这个方式适用用部分不需要特定ip地址的场合,向我们的情况要依据ip地址作部分的验证就没有办法适用这个东西了 ! 有了第一步,第二步就简单了。 “有的IP需要固定”可以有这种方法解决,如果需要固定的计算机不多,可以针对每台计算机启一个32位掩码的VLAN,一个为计算机IP,一个为网关IP,然后在DHCP服务器上把IP的租约期设为永不过期。 就可以了,其实把所有的计算机IP的租约期设长,不就相当于固定IP了。 |
||||||||
| Re:解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING... | 作者:iwanthome | 时间:2005/04/07 09:12:00 | ||||||
IP Source Guard应该建立在每个交换机端口只能接一个pc的基础上吧?
我的固定ip是所有的pc都需要,问题是我需要把ip地址和使用人对应起来,使用dhcp我没办法确定某个地址到底是谁在使用。 “DHCP服务器上把IP的租约期设为永不过期”为什么要“针对每台计算机启一个32位掩码的VLAN”? 不知道dhcp有没有办法可以根据某种要素来分配ip,例如用户、机器名等等。这样我就可以控制某人分配某个ip,而且未经dhcp分配的不能正常使用 |
||||||||
| Re:解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING... | 作者:xiang8048 | 时间:2005/04/07 09:30:41 | ||||||
DHCP 可以根据MAC地址来分配IP, 但我认为你肯定不会这么做的。 ^-^ 我们的方法是自己开发了一套系统,去获取当前哪个IP是从哪个交换机的端口接入的(前提是我们的交换机端口与用户是一一对应的),这样就可以做到IP地址与用户对应了。 我们的系统也可以自动收集在线用户的MAC地址 与 IP对应关系 。 你的问题肯定是有解决方法的,只是可能没有想到罢了。 |
||||||||
| Re:解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING... | 作者:iwanthome | 时间:2005/04/07 09:56:15 | ||||||
如果是这样的话,那就和是否使用dhcp没有关系了
没错,这个没有必要,如果能够知道某个mac是谁所有,那我根本就不管它了,我可以通过技术手段知道哪个ip是非法的,只要看arp表,就能看到这个非法ip是谁在使用了
关键我们做不到每个交换机端口接一个pc,否则非法ip的东西很好解决,你们教育网好奢侈?每个学生都能接一个交换机端口吗?我们公司都作不到这一点 |
||||||||
| Re: 解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING | 作者:yp123 | 时间:2005/04/07 10:02:18 | ||||||
虽然看不太明白,不过还是要顶一下 |
||||||||
| Re:解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING... | 作者:大勇 | 时间:2005/04/07 11:12:59 | ||||||
哪里提到了每台交换机只接一台PC? 针对固定ip同样适用,再说在dhcp server上针对做一些ip分配的规则也容易。 看清楚文档再说吧。 |
||||||||
| Re:解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING... | 作者:iwanthome | 时间:2005/04/07 14:39:24 | ||||||
我是看清楚了,  请看:
|
||||||||
| Re:解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING... | 作者:大勇 | 时间:2005/04/07 14:43:21 | ||||||
不是交换机端口与用户一一对应么? |
||||||||
| Re:解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING... | 作者:iwanthome | 时间:2005/04/07 14:44:37 | ||||||
唉,我当然是这个意思,难道我还真的说每个交换机接一个pc吗,当然是指端口了
|
||||||||
| Re:解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING... | 作者:iwanthome | 时间:2005/04/07 14:48:18 | ||||||
应该说这个办法对不需要明确地址的所有人的时候是一个很好的解决办法。 如前所言,好像对于我们这种需要静态分配(当然dhcp通过某种可预先确定的因素分配也是一样的)、而且做不到每个pc连接一个交换机端口的情况还没有什么太好的技术手段。 对dhcp不太了解,不知道通过什么方法可以指定分配地址?(除了xiang8048说的mac以外,这个登记mac的方法太麻烦了) |
||||||||
| RE: 解决IP地址冲突的完美方法(管理除外)--DHCP SNOOPING... | 作者:闪亮晨星 | 时间:2005/04/07 14:50:32 | ||||||
我理解有困难,难道每个学生的机器不能接一个交换机端口么?那该怎么接? |
||||||||
Powered by Phoenix Portal v0.0.2 Powered by Zero Framework v0.0.1 2003-2004 ZERO NS |