FAQ-s交换机dhcp分配指定IP地址,并防止arp冲突配置

发布时间:  2015-02-26 浏览次数:  446 下载次数:  0
问题描述

很多客户会有这样的需求:只让终端用户接受来自dhcp服务器的Ip分配,用户手动配置或是私自更改的Ip地址终端,不允许访问网络资源,更不允许因为arp冲突而影响到网络中其它主机的正常使用,以下解决方案里提供了一种实现需求的方式。

解决方案

1,只允许交换机dhcp分配的IP地址,能正常访问网络,其它私自配置的Ip地址无法访问网络
#
dhcp enable
#
dhcp snooping enable
#
vlan 10
dhcp snooping enable
ip source check user-bind enable  (不对ARP协议进行检查)
#
interface Vlanif10
ip address 192.168.0.1 255.255.255.0
dhcp select interface
#
2,不允许其他终端用户私自配置dhcp 已分配的IP地址,导致正常用户无法访问网络;
#
interface Vlanif10
      arp learning strict force-enable     (只学习由设备本身发送的ARP请求)
#
3,允许正常用户从一个端口快速移动到同一交换机同一vlan的另一端口后,可正常访问网络;
#
mac-address update arp       (解决MAC地址表已更新,而ARP表项未及时更新,导致的通信异常问题)
#

补充说明:
  在第2步时,也可以使用arp anti-attack check user-bind enable 来进行检测。但,当一个dhcp池里,不参与分配的地址由管理员手动分配时,就不起作用了,

END