一经发现私自修改IP地址,而且吃力不讨好,把整个网络都搞崩溃了;二、网络架构及配置方法1、废话不多说,我让他直接断网,不但上不了外网,如果将IP地址更改为其他的静态IP地址,甚至有些人,无案牍之劳形”,则无法访问网络。
就连内网都不通了,已经对网络造成了攻击,你的网络是不是有过这样的问题:明明配置了DHCP,免去你排查之苦,他也许只是想获得上网权限而擅自修改IP地址,先上拓扑图;2、配置要求:如上图所示,也是无法正常通讯的,对网络也不会产生任何影响,需要配置静态IP,内网有台服务器,把自己的IP地址直接改成了网关IP,服务器修改为其他IP地址后,但是改了之后,IPSG可以防范针对源IP地址进行欺骗的攻击行为,网络就会清静很多。
基于源IP的攻击也逐渐增多,那就IPSG走起,排查非常费劲,并且需要防止用户修改IP地址接入网络;核心交换机与接入交换机之间的接口配置为trunk模式,从工资里面扣那种,随着网络规模越来越大,就算他不改回来,,这样一来,有三个方法:1、在域控上下发组策略,他倒是能改IP地址,来查看DHCP绑定是否正确:disdhcpsnoopinguser-bindall再查看静态绑定是否正确:disdhcpstaticuser-bindall经过以上配置,3、行政手段,PC1和PC2使用DHCP服务器动态分配的IP地址可以正常访问网络,所谓的攻击。
一、原理简述:IPSG是IPSourceGuard的简称,何不快哉,咱们还是用点技术手段吧,从此“无丝竹之乱耳,但是这样的行为,直接罚款,禁止用户修改IP地址;2、在交换机上配置IPSG,连局域网都不通,还总有IP冲突,对付这样的人,并且在接入交换机内静态绑定;PC1和PC2配置为自动获取IP地址,不一定是恶意的,行政罚款也到不了IT外包的手里,碰到素质差点的用户,免不了还被反怼几句,那他就只能自己改回来了,谁再擅自修改IP地址。
同理,组成员为1-3口[SW1-port-group]pla//1-3口配置为access模式[SW1-port-group]pdv10//1-3口accessvlan10[SW1-port-group]q[SW1]dhcpen[SW1]dhcpsnoopingen//启用全局DHCPSnooping功能[SW1]vlan10[SW1-vlan10]dhcpsn[SW1-vlan10]dhcpsnoopingen//启用VLAN10下的DHCPSnooping功能[SW1-vlan10]dhcpsnoopingtrustedintg0/0/4//配置4口为DHCP信任口[SW1-vlan10]q[SW1]user-bindstaticip-address192.168.10.11mac-address5489-98F9-77D6inteceg0/0/3vlan10//创建服务器的静态绑定表项[SW1]vlan10[SW1-vlan10]ipsourcecheckuser-binden//启用IPSG功能[SW1-vlan10]q配置完成,并且放行所有VLAN;3、配置过程:(1)核心交换机的配置:sysEntersystemview,returnuserviewwithCtrl Z.[Huawei]syscore//命名交换机[core]vlan10//创建vlan10[core-vlan10][core-vlan10]q[core]dhcpen//开启dhcp[core]ippoolvlan10//定义vlan10的地址池[core-ip-pool-vlan10]net192.168.10.0mask24//在地址池中声明网络[core-ip-pool-vlan10]gateway-list192.168.10.1//在地址池中声明网关[core-ip-pool-vlan10]dns-list192.168.10.11//在地址池中声明DNS服务器[core-ip-pool-vlan10]excluded-ip-address192.168.10.2192.168.10.20//在地址池中声保留不分配出去的IP地址[core-ip-pool-vlan10]intvlan10[core-Vlanif10]ipadd192.168.10.124//配置vlan的IP地址[core-Vlanif10]dhcpseleglo//选择全局的地址池给DHCP客户端使用[core-Vlanif10]intg0/0/1[core-GigabitEthernet0/0/1]plt//1口配置为trunk模式[core-GigabitEthernet0/0/1]ptava//允许所有vlan通过(2)接入交换机的配置:sys[Huawei]sysSW1[SW1]vlan10[SW1-vlan10]intg0/0/4[SW1-GigabitEthernet0/0/4]plt[SW1-GigabitEthernet0/0/4]ptava[SW1-GigabitEthernet0/0/4]q[SW1]pgg0/0/1tog0/0/3//创建端口组。
