一、组网需求
用户网关在核心交换机上,核心交换机创建DHCP Server,接入交换机下联PC使用动态DHCP获取IP地址,为了防止下联用户之间的ARP欺骗及下联用户欺骗网关,使用DHCP Snooping+IP Source Guard +DAI(动态ARP检测)方案解决ARP欺骗问题。
二、组网拓扑
三、配置要点
1.在核心交换机上开启DHCP Server功能(用户端也有可能使用专用的DHCP服务器,核心交换机只需要启用DHCP Relay即可)2.在接入交换机上全局开启dhcp snooping功能,并且在上联核心的端口开启DHCP Snooping信任口3.在接入交换机连接用户的端口开启IP Source Guard功能4.全局开启DAI检测功能,上联口开启DAI Trust功能
四、配置步骤
1.在接入交换机开启开启DHCP snooping功能
安全——DHCP Snooping
DHCP Snooping——选择接口——保存配置
2.开启防止IP地址私设(必配)
安全——IP Source Guard 接口配置——添加开启IP Source Guard端口——IP+MAC——选择接口——完成配置
安全——IP Source Guard 接口配置——用户绑定——添加绑定——填写用户IP MAC VLAN信息——选择接口——完成配置(可选配置,视情况而定)
3.开启动态ARP检测(DAI)
安全——防ARP攻击——DAI设置——开启DAI检测——添加要检测的VLAN——完成配置——选择不需要检测的接口——保存配置
附加说明:如果用CLI命令配置,以上功能也可以通过如下命令实现:
Ruijie>enable ----->进入特权模式Ruijie#config terminal ----->进入配置模式Ruijie(config)#ip dhcp snooping ----->全局开启DHCP SnoopingRuijie(config)#interface gigabitEthernet 0/24 ----->进入上联接口Ruijie(config-if-GigabitEthernet 0/24)#ip dhcp snooping trust ----->设置上联接口为信任口Ruijie(config-if-GigabitEthernet 0/24)#exit ----->退出Ruijie(config)#int range gigabitEthernet 0/1-5 ----->批量进入1到5口Ruijie(config-if-range)#ip verify source port-security ----->将这些接口开启防IP地址私设Ruijie(config-if-range)#exit ----->退出Ruijie(config)#ip arp inspection vlan 30,40 ----->对VLAN 30 40进行检测Ruijie(config)#interface gigabitEthernet 0/24 ----->进入上联接口Ruijie(config-if-GigabitEthernet 0/24)#ip arp inspection trust ----->配置上联口为信任口,不检测Ruijie(config)#exit ----->退出Ruijie#write ----->保存
五、功能验证
1.方案一功能验证(web页面)
(1)确认DHCP Snooping已经开启
(2)确认IP Source Guard已经开启
(3)确认DAI已经开启
2.方案一功能验证(命令行)
Ruijie#sh ip dhcp snooping binding ----->在二层接入交换机查看DHCP Snooping绑定表
Ruijie#show ip verify source ----->在二层接入交换机查看防IP地址私设信任表
Ruijie#show ip arp inspection vlan ----->在二层接入交换机查看哪些VLAN需要进行动态ARP检查
3.也可通过锐捷闪电兔快速查询获取相关功能配置信息。方式一:电脑端登录锐捷闪电兔:进入锐捷官网(http://www.ruijie.com.cn/)--在线咨询--售后咨询版块或直接通过地址进入:http://www.sobot.com/chat/pc/index.html?sysNum=6a532efa9b3e4d2282e0dab4956d0f01&robotFlag=1
方式二:手机端公众号登录锐捷闪电兔: