ip冲突

利用Cisco交换机解决IP地址冲突、篡改MAC地址的完美方法

（管理除外）

2010-01-1814:54:40来源:作者:【大中小】浏览:134次评论:0条

使用的方法是采用DHCP方式为用户分配IP，然后限定这些用户只能使用动态IP

的方式，如果改成静态IP的方式则不能连接上网络；也就是使用了DHCPSNOOPING

功能。

例子：

version12.1

norvicepad

rvicetimestampsdebuguptime

rvicetimestampsloguptime

norvicepassword-encryption

rvicecompress-config

!

hostnameC4-2_4506

!

enablepasswordxxxxxxx!

clocktimezoneGMT8

ipsubnet-zero

noipdomain-lookup

!

ipdhcpsnoopingvlan180-181//对哪些VLAN进行限制

ipdhcpsnooping

iparpinspectionvlan180-181

iparpinspectionvalidatesrc-macdst-macip

errdisablerecoverycauudld

errdisablerecoverycaubpduguard

errdisablerecoverycaucurity-violation

errdisablerecoverycauchannel-misconfig

errdisablerecoverycaupagp-flap

errdisablerecoverycaudtp-flap

errdisablerecoverycaulink-flap

errdisablerecoverycaul2ptguard

errdisablerecoverycaupcure-violation

errdisablerecoverycaugbic-invalid

errdisablerecoverycaudhcp-rate-limit

errdisablerecoverycauunicast-flood

errdisablerecoverycauvmps

errdisablerecoverycauarp-inspection

errdisablerecoveryinterval30

spanning-treeextendsystem-id

!

!

interfaceGigabitEthernet2/1//对该端口接入的用户进行限制，可以下联交

换机

iparpinspectionlimitrate100

arptimeout2

ipdhcpsnoopinglimitrate100

!

interfaceGigabitEthernet2/2

iparpinspectionlimitrate100

arptimeout2

ipdhcpsnoopinglimitrate100

!

interfaceGigabitEthernet2/3

iparpinspectionlimitrate100

arptimeout2

ipdhcpsnoopinglimitrate100

!

interfaceGigabitEthernet2/4

iparpinspectionlimitrate100

arptimeout2

ipdhcpsnoopinglimitrate100

--More--

简单介绍一下这个解决方案的来历:

我是某个高校的网络管理员（假假的），我校所有学生宿舍区、教学区都使用

了CISCO的设备接入了网络（有8台CISCO6509,2台CISCO7613，30多台

的CISCO4506,二百多台的各系列的CISCO2950，学生入网数目>10000），

与其他人的问题一样，我们的最大问题就IP地址冲突的问题，以前我们的解决

办法是在2950上把IP与端口绑定，但是，在2004年的时候，我们又购买了一

大批的CISCO2950T-48-SI，而这些设备不支持二层的ACL，所以上述的方法失效

了。

就这个问题，我们和网络集成商、思科的技术人员讨论了许久的以求解决方案，

虽然他们好几个都是什么CCIE的，但就是没有什么好的方案。直到在04年底我

参加了思科在北京的用户大会，与思科总部的一个鬼佬CCIE讨论，他给出了上

诉的解决方案。回来后立即实施，效果非常理想。

IPSourceGuard

SimilartoDHCPsnooping,thisfeatureinabledonaDHCPsnooping

lly,allIPtrafficontheportisblocked

exceptforDHCPpacketsthatarecapturedbytheDHCPsnoopingprocess.

WhenaclientreceivesavalidIPaddressfromtheDHCPrver,orwhen

astaticIPsourcebindingisconfiguredbytheur,aper-portandVLAN

AccessControlList(PACL)ocess

restrictstheclientIPtraffictothosourceIPaddressconfigured

inthebinding;anyIPtrafficwithasourceIPaddressotherthanthat

lteringlimitsa

host'sabilitytoattackthenetworkbyclaimingneighborhost'sIP

address.

（注：可编辑下载，若有不当之处，请指正，谢谢!）