锐捷(二十)DHCP Snooping + IP Source guard + ARP-check防ARP欺骗方案

DHCP Snooping + IP Source guard + ARP-check防ARP欺骗方案:在用户PC动态获取IP地址的过程中,通过接入层交换机的DHCP Snooping功能将用户DHCP获取到的,正确的IP与MAC信息记录到交换机的DHCP Snooping软件表;然后通过IP Source guard功能将DHCP Snooping表的每个终端的IP&MAC信息写入交换机的硬件表项(类似端口安全的绑定);最后使用ARP-check功能校验所有ARP报文的正确性。如果合法用户获取IP地址后试图进行ARP欺骗,或者是非法用户私自配置静态的IP地址,他们的ARP校验都将失败,这样的用户将无法使用网络。

具体配置如下所示:

1、开启DHCP Snooping并将连接DHCP服务器的端口设为信任:

复制代码
Ruijie>enable     

Ruijie#configure terminal

Ruijie(config)#ip dhcp snooping     

Ruijie(config)#interface gigabitEthernet 0/24

Ruijie(config-if-GigabitEthernet 0/24)#ip dhcp snooping trust

Ruijie(config-if-GigabitEthernet 0/24)#exit

2、连接终端接口开启IP Source Guard:

复制代码
Ruijie(config)#interface range gigabitEthernet 0/1-16

Ruijie(config-if-range)#ip verify source port-security

3、连接终端接口开启arp-check:

复制代码
Ruijie(config)#interface range gigabitEthernet 0/1-16

Ruijie(config-if-range)#arp-check

Ruijie(config-if-range)#end

DHCP Snooping + IP Source guard + ARP-check配置完成

相关推荐
T0uken1 小时前
【Linux】SSH:简单端口转发的跳板机
linux·运维·ssh
运维行者_3 小时前
Azure数据库监控:如何在2025年选择合适的工具
运维·服务器·网络·数据库·flask·自动化·azure
dbkx_293 小时前
个人自用debian启动
linux·运维·debian
qq19257230274 小时前
网络协议传输层
网络·网络协议
芯盾时代4 小时前
安全大模型智驱网络和数据安全效能跃迁
网络·人工智能·安全·网络安全
dualven_in_csdn4 小时前
搞了两天的win7批处理脚本问题
java·linux·前端
晨曦backend5 小时前
Vim 匹配跳转与搜索命令完整学习笔记
linux·编辑器·vim
玩转4G物联网7 小时前
零基础玩转物联网-串口转以太网模块如何快速实现与MQTT服务器通信
服务器·物联网·网络协议·tcp/ip·信息与通信·iot·fs100p
爬呀爬的水滴7 小时前
解决Ubuntu24.04版本,右键没有共享选项的问题
linux·服务器·ubuntu·samba·共享文件夹
IT coke7 小时前
centos7部署AWStats日志分析系统
linux·运维·centos