防止局域网内私自IP地址(DHCP)
2010-09-27 12:30:42 来源:WEB开发网Gi1/0/26 Untrusted 15 1
Gi1/0/27 Trusted None N/A
Gi1/0/28 Untrusted None N/A
show ip arp inspection vlan vlan-range, Displays the configuration and the operating state of dynamic ARP inspection for all VLANs configured on the switch, for a specified VLAN, or for a range of VLANs.
yql-2#-3750#sh ip arp inspection vlan 103
Source Mac Validation : Disabled
Destination Mac Validation : Disabled
IP Address Validation : Disabled
Vlan Configuration Operation ACL Match Static ACL
---- ------------- --------- --------- ----------
103 Enabled Active
Vlan ACL Logging DHCP Logging
---- ----------- ------------
103 Deny Deny
注意事项:
DHCP Snooping
l 在配置DHCP Snooping以前,必须确认该设备作为DHCP服务器。
l 建议对非信任端口的上限不要超过100。对于被设置为受信任的trunk端口,需要适当增加
Dynamic ARP Inspection
必须限制trunk端口处理ARP包的数量
五、一些问题的讨论
在实际使用过程中我们发现,在配置完上述命令后, 3750交换机会在运行一段时间以后变得缓慢,CPU利用率达到100%,性能严重下降。经过分析我们发现,在开始应用Dynamic ARP Inspection时,交换机会记录大量的数据包,当端口通过的数据包过多时,交换机会认为遭受DoS攻击,从而将端口自动errdisable,造成通信中断。为了解决这个问题,我们需要加入命令errdisable recovery cause arp-inspection。
由于 3750交换机能力有限,因此我们建议在使用 3750交换机配置上述命令时应逐级增大port limit rate。
编缉推荐阅读以下文章
- Windows 网络服务架构系列课程详解(五) ---DHCP服务器群集的部署方案
- Windows 网络服务架构系列课程详解(一) ----DHCP服务器的搭建与配置
- 一起学DHCP系列(八)配置CLASSID、演示
- 一起学DHCP系列(七)租约、释放
- 一起学DHCP系列(六)授权、分析
- 一起学DHCP系列(五)指派、获取
- 一起学DHCP系列(四)安装、配置
- 一起学DHCP系列(三)理解、APIPA
- 一起学DHCP系列(二)三种途径
- 一起学DHCP系列(一)开篇、概述
更多精彩
赞助商链接