当前位置:首页 > wifi设置知识 > 正文内容

网络安全应用之终端IP地址冲突管控,最先考虑这几个大问题

秋天2024年02月03日 22:02:44wifi设置知识88
在这篇文章中,我们将讨论网络安全应用之终端IP地址冲突管控 以及与其相关的路由器话题,我们相信这些内容能够为您提供一些有价值的知识和技能。

网络安全应用之终端IP地址冲突管控


最近客户那边反应局域网络中经常有IP地址冲突现象,影响正常的业务通讯。

客户提出让所有员工电脑的IP地址都使用自动获取,禁止私自手工配置IP地址。打印机要通过网络共享,所以要使用固定的IP地址。

根据需求,给出的实施方案是将所有员工电脑的IP地址都设置为通过DHCP方式获取,再通过部署IPSG,实现员工只能使用DHCP Server分配的IP地址,才能正常联网,如果私自指定IP地址将无法访问网络。网络拓扑如下图

网关设备作为DHCP示意图

IPSG,IP 源防护(IP Source Guard)是一种基于 IP/MAC 的端口流量过滤技术,它可以防止局域网内的 IP 地址欺骗攻击。

通过在设备接入用户侧的端口上启用IPSG功能, 能够对端口收到的报文进行过滤控制,防止非法报文通过端口,从而限制了非授权的设备非法使用网络资源(比如非法主机仿冒合法用户IP接入网络),提高了网络的安全性。


IPSG应用生产环境:

在网络中经常出现利用仿冒合法用户IP/MAC等信息的报文访问或攻击网络的情况,导致合法用户无法获得稳定、安全的网络服务。配置IP报文检查功能,可以防范上述情况的发生。当使能了IP报文的检查功能后,默认会对IP报文中的IP、MAC、VLAN、接口信息进行绑定表匹配检查,只有与绑定表匹配的IP报文才能被转发,否则被丢弃。

IPSG实施条件:

由于该功能是基于绑定表进行匹配检查的,因此:

1)对于DHCP环境中的用户,需要使能DHCP Snooping自动生成动态绑定表。

2)对于无DHCP环境,静态配置IP的用户,需要手工配置静态绑定。

IPSG实施步骤:

1、在接入交换机上配置DHCP Snooping功能,生成DHCP Snooping动态绑定表。

DHCP Snooping功能实施在“”一文已经详细说明,这里不再阐述。


dhcp snooping相关配置命令参考

2、接入交换机上连接员工主机的接口上使能IPSG功能。

IPSG配置命令参考

3、打印机配置固定IP地址

根据实施文档为打印机配置规划好的IP地址信息


总结:通过以上IPSG配置后,终端电脑在自动获得IP地址后,交换机就会生成dhcp snooping 用户信息动态绑定表(display dhcp snooping user-bind all)。此时如果员工再手动设置IP地址就无法正常使用网络了,即使手动设置的IP地址就是自动获取的IP地址,也无法使用网络。

本文介绍所实现的功能是仅限制终端电脑不能手动更改IP地址,并不限制终端接入网络的位置,即只要是在网络服务范围内,且能正常自动获取IP地址信息,都是允许使用网络的。


IPSG实施常见问题:

1、汇聚交换机要不要配置ip source check user-bind enable,如图中汇聚交换机的g0/0/8口有终端接入。

这里说明一下实施的思路,我们在对某个工具某个命令作配置时,首先要弄明白,此工具命令的作用是什么,可以实现什么功能,可能会造成什么后果。

ip source check user-bind enable命令是启动IP报文的检查功能,包括IP、MAC、VLAN、接口编号等信息,功能是比对读上来的这些信息和表里的信息是否匹配,目的是过滤非法的终端,后果是造成非法的终端无法使用网络。所以答案出来了,此接口如果接的是需要管控的电脑终端,就需要配置此命令,否则不需要配置此命令。

2、配置完ip source check user-bind enable,交换机卡了,或是访问不了互联网了。

1)上行口配置了ip source check user-bind enable,上行口不能配置IPSG检查功能。

2)在接入交换机的vlan下配置了ip source check user-bind enable,而上行口也包含此vlan,导致接入交换机无法和此vlan的网关设备正常通讯。解决方法是拿掉此命令配置,改在接口配置ip source check user-bind enable或在全局使用user-bind static mac-address绑定上行网关设备对应三层接口的mac地址,而且是只绑定mac地址,不要绑定IP地址。如果上行是中继链路,建议都在接口上配置ip source check user-bind enable。

3、display dhcp snooping user-bind all发现已经创建并生成了绑定表,但IPSG功能没有生效。

1)检查IPSG功能是否在指定接口或者指定VLAN上使能。只有在指定接口或在指定VLAN上使能IPSG后功能才生效。当上行是路由链路,首选在vlan下配置ip source check user-bind enable,当上行是中继链路,首选在接口上配置ip source check user-bind enable。

2)要在真机上实施。

~当您不确定某些设置时,不要犹豫与厂家联系。他们会很愿意提供帮助和支持,以确保您的路由器和WIFI网络运行良好。

扫描二维码推送至手机访问。

版权声明:本文由路由设置网发布,如需转载请注明出处。

本文链接:https://www.shoulian.org/luyou/post/143881.html

分享给朋友:
返回列表

上一篇:住酒店怎么检测摄像头,综合方面对比下就知道了

下一篇:飞拓无线路由器:打造高速稳定的无线网络环境

“网络安全应用之终端IP地址冲突管控,最先考虑这几个大问题” 的相关文章

小米路由器怎么认证啊

小米路由器怎么认证啊

有很多朋友不知道小米路由器怎么认证啊要如何操作,今天为大家整理了很多小米路由器怎么认证啊相关的答案,组成一篇内容丰富的文章,希望能到您 本文内容目录一览:小米路由器怎么认证啊的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于小米路由器怎么认证啊、小米路由器怎么认证啊的信息别忘了在本站进行查找喔。...

怎么连路由器连电脑

怎么连路由器连电脑

今天给各位分享怎么连路由器连电脑的知识,其中也会对怎么连路由器连电脑网络进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站 本文内容目录一览: 1、无线路由器如何连接电脑使用呢 2、路由器怎么连接电脑? 3、电脑怎么连接路由器 无线路由器如何连接电脑使用呢 PC无线接收器可通过以下步...

路由器无线怎么设置好

路由器无线怎么设置好

有很多朋友不知道路由器无线怎么设置好要如何操作,今天为大家整理了很多路由器无线怎么设置好使相关的答案,组成一篇内容丰富的文章,希望能到您 本文内容目录一览: 1、TP-LINK WR841N无线路由器怎样设置 2、无线路由器该怎么设置与调节? 3、家用路由器如何设置 4、路由器怎么设置无...

小米路由器pro怎么挣钱

小米路由器pro怎么挣钱

当朋友们看到这个文章时想必是想要了解小米路由器pro怎么挣钱相关的知识,这里同时多从个角度为大家介绍小米路由器pro怎么玩相应的内容。 本文内容目录一览: 1、小米路由器PRO怎么样?想入手一件 2、小米路由器pro怎么样?买家评论好么? 3、小米路由器怎么分享wifi赚红包? 4、小米...

怎么组有线路由器

怎么组有线路由器

今天和朋友们分享怎么组有线路由器相关的知识,相信大家通过本文介绍也能对路由器和路由器怎么组网有自已的收获和理解。自己轻松搞问题。本文内容目录一览: 1、家庭宽带怎么连接有线路由器 2、有线路由器怎样安装? 3、有线路由器如何设置 4、怎么设置有线路由器 5、有线桥接路由器怎么设置...

怎么关路由器无线功能

怎么关路由器无线功能

今天和朋友们分享怎么关路由器无线功能相关的知识,相信大家通过本文介绍也能对怎么把无线路由器关了有自已的收获和理解。自己轻松搞问题。本文内容目录一览: 1、怎么关闭无线路由器 2、如何关闭无线路由器 3、如何把家里的WiFi关闭? 怎么关闭无线路由器 为保证我们的无线不被解除蹭网,最好是定...

吉他谱 欧帝维修网 解译网 打印机维修