1、拓扑说明:
AR1:作为DHCP服务器,配置参数如下:
dhcp enable
interface g0/0/1
ip address 10.1.1.254 24
dhcp select global
ip pool hcie
network 10.1.1.0 mask 24
gateway-list 10.1.1.254SW5:作为连接交换机,配置如下
[SW5]display current-configuration interface GigabitEthernet 0/0/2
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 12
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 12
#
vlan batch 12
#
vlan 12
dhcp snooping enable
dhcp snooping trusted interface GigabitEthernet0/0/2
ip source check user-bind enable
#2、IPSG简介
IPSG利用绑定表(源IP地址、源MAC地址、所属VLAN、入接口的绑定关系)去匹配检查二层接口上收到的IP报文,只有匹配绑定表的报文才允许通过,其他报文将被丢弃。绑定表包括静态和动态两种。
本实验通过真实设备验证IPSG的作用(注意:模拟器ENSP无法实现,配置命令支持但没有效果)。
主要验证以下效果:
- 配置之前终端P70可以随意修改IP地址实现上网
- 配置DHCP Snooping+IPSG之后,用户无法私自修改IP地址,只能通过DHCP获取IP地址。(防止企业中乱修改IP地址)
3、配置效果
只有符合dhcp snooping表项所有参数的终端才能正常上网
[SW5]display dhcp snooping user-bind all
DHCP Dynamic Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address MAC Address VSI/VLAN(O/I/P) Interface Lease
--------------------------------------------------------------------------------
10.1.1.253 54e1-ad23-b8a8 12 /-- /-- GE0/0/1 2023.05.05-11:56
--------------------------------------------------------------------------------
Print count: 1 Total count: 1
[SW5]终端P70只能通过DHCP获取IP地址上网,无法私下修改IP地址上网。