WEB开发网
开发学院操作系统windows 2008 防止局域网内私自IP地址(DHCP) 阅读

防止局域网内私自IP地址(DHCP)

 2010-09-27 12:30:42 来源:WEB开发网   
核心提示: Gi1/0/26 Untrusted 15 1Gi1/0/27 Trusted None N/AGi1/0/28 Untrusted None N/Ashow ip arp inspection vlan vlan-range, Displays the configuration and th

Gi1/0/26 Untrusted 15 1

Gi1/0/27 Trusted None N/A

Gi1/0/28 Untrusted None N/A

show ip arp inspection vlan vlan-range, Displays the configuration and the operating state of dynamic ARP inspection for all VLANs configured on the switch, for a specified VLAN, or for a range of VLANs.

yql-2#-3750#sh ip arp inspection vlan 103

Source Mac Validation : Disabled

Destination Mac Validation : Disabled

IP Address Validation : Disabled

Vlan Configuration Operation ACL Match Static ACL

---- ------------- --------- --------- ----------

103 Enabled Active

Vlan ACL Logging DHCP Logging

---- ----------- ------------

103 Deny Deny

注意事项:

DHCP Snooping

l 在配置DHCP Snooping以前,必须确认该设备作为DHCP服务器。

l 建议对非信任端口的上限不要超过100。对于被设置为受信任的trunk端口,需要适当增加

Dynamic ARP Inspection

必须限制trunk端口处理ARP包的数量

五、一些问题的讨论

在实际使用过程中我们发现,在配置完上述命令后, 3750交换机会在运行一段时间以后变得缓慢,CPU利用率达到100%,性能严重下降。经过分析我们发现,在开始应用Dynamic ARP Inspection时,交换机会记录大量的数据包,当端口通过的数据包过多时,交换机会认为遭受DoS攻击,从而将端口自动errdisable,造成通信中断。为了解决这个问题,我们需要加入命令errdisable recovery cause arp-inspection。

由于 3750交换机能力有限,因此我们建议在使用 3750交换机配置上述命令时应逐级增大port limit rate。

编缉推荐阅读以下文章

  • Windows 网络服务架构系列课程详解(五) ---DHCP服务器群集的部署方案
  • Windows 网络服务架构系列课程详解(一) ----DHCP服务器的搭建与配置
  • 一起学DHCP系列(八)配置CLASSID、演示
  • 一起学DHCP系列(七)租约、释放
  • 一起学DHCP系列(六)授权、分析
  • 一起学DHCP系列(五)指派、获取
  • 一起学DHCP系列(四)安装、配置
  • 一起学DHCP系列(三)理解、APIPA
  • 一起学DHCP系列(二)三种途径
  • 一起学DHCP系列(一)开篇、概述

上一页  1 2 3 4 5  下一页

Tags:防止 局域网 私自

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接