锐捷(二十)DHCP Snooping + IP Source guard + ARP-check防ARP欺骗方案

DHCP Snooping + IP Source guard + ARP-check防ARP欺骗方案:在用户PC动态获取IP地址的过程中,通过接入层交换机的DHCP Snooping功能将用户DHCP获取到的,正确的IP与MAC信息记录到交换机的DHCP Snooping软件表;然后通过IP Source guard功能将DHCP Snooping表的每个终端的IP&MAC信息写入交换机的硬件表项(类似端口安全的绑定);最后使用ARP-check功能校验所有ARP报文的正确性。如果合法用户获取IP地址后试图进行ARP欺骗,或者是非法用户私自配置静态的IP地址,他们的ARP校验都将失败,这样的用户将无法使用网络。

具体配置如下所示:

1、开启DHCP Snooping并将连接DHCP服务器的端口设为信任:

复制代码
Ruijie>enable     

Ruijie#configure terminal

Ruijie(config)#ip dhcp snooping     

Ruijie(config)#interface gigabitEthernet 0/24

Ruijie(config-if-GigabitEthernet 0/24)#ip dhcp snooping trust

Ruijie(config-if-GigabitEthernet 0/24)#exit

2、连接终端接口开启IP Source Guard:

复制代码
Ruijie(config)#interface range gigabitEthernet 0/1-16

Ruijie(config-if-range)#ip verify source port-security

3、连接终端接口开启arp-check:

复制代码
Ruijie(config)#interface range gigabitEthernet 0/1-16

Ruijie(config-if-range)#arp-check

Ruijie(config-if-range)#end

DHCP Snooping + IP Source guard + ARP-check配置完成

相关推荐
HAPPY酷8 分钟前
【ROS2】16G 内存笔记本跑 ROS2 仿真?VMware 虚拟机“保姆级”配置指南 (R9 7940HX + RTX 4060)
java·linux·ide·windows·pycharm
sdghterhd9 小时前
WebSocket 快速入门教程(附示例源码)
网络·websocket·网络协议
donoot10 小时前
Linux系统下图书馆级电子书全自动标准化分类整理完整实施方案
大数据·linux·运维·电子书管理
xy345310 小时前
Wireshark捕获过滤器——语法元素详解
网络·测试工具·渗透测试·wireshark
Felix-lxd10 小时前
Ubuntu 22.04 配置 Nginx
linux·nginx·ubuntu
DLYSB_11 小时前
生命通道:如何用 HIS 医疗系统直连网络声光终端,打造“零延误”的危急值响应网关?
java·网络·数据库·报警灯
Tim_Van12 小时前
在 CentOS 7 中安装 Chromium 的完整步骤
linux·运维·chrome·centos
德福危险12 小时前
富有想象力的XSS盲打:靶机练习之Tempus_fugit5
服务器·网络·xss
2023自学中12 小时前
C++ 内存追踪器
linux·c++
哥是强混13 小时前
Means:基于 .NET 10 打造的开源自部署 S3 兼容对象存储服务
网络·数据库·.net