[Lab] OmniSwitch DHCP Snooping 解決DHCP私設IP問題
我們時常會使用DHCP來讓user取得IP上網,
就可以免除讓user自己設定(多半都看不懂,還要去現場幫他設…)
除此之外,
有些會需要作限制流量的需求,
通常user流量爆了,
會偷偷改一個IP …
然後,又可以開心的使用網路…
OmniSwitch的dhcp snooping有分兩種模式
switch-level 跟 vlan-level…
switch-level顧名思義就是整個switch都啟動dhcp snooping
vlan-level就是針對vlan來作dhcp snooping
但是在vlan-level時,他不支援option82…
所以各取所需囉…
以下我就用vlan-level來作說明
指令如下
ip helper dhcp-snooping vlan 10 ip helper dhcp-snooping binding enable ip helper dhcp-snooping port 1/1 ip-source-filter enable ip helper dhcp-snooping port 1/10 trust
首先…
第一行是針對vlan 10來啟動dhcp snooping
接下來再啟動binding的功能(後續會說明啟動這個會有什麼效果)
然後針對port 1/1 來作過濾是否為私設IP
port 1/10就是你的dhcp server所接的位置囉,要設定成trust,不然server沒有辦法配IP給user
binding這個功能會去比對dhcp server上的mac address mapping table
這樣可以讓他判斷,user到底是跟dhcp server要IP…還是他自己偷偷設IP
以上述的設定來說…
port 1/1的user,他是無法用私設IP上網,switch會drop他的封包
其他屬於vlan 10的port則可以私設IP來上網…
這樣我們就知道ip-source-filter的功用囉
另外
有時候我們必須私設一個IP給設備使用,
但是剛好在啟動dhcp snooping的vlan裡,
這時我們可以設定一個static的binding….
ip helper dhcp-snooping binding ff:ff:ff:ff:ff:ff port 1/1 address 192.168.10.20 vlan 10
這樣這個設備就可以從port 1/1 私設192.168.10.20來上網囉
要拿掉的話就下
no ip helper dhcp-snooping binding ff:ff:ff:ff:ff:ff port 1/1
另外有一點很重要的是…
有時候我們常常會遇到私設IP的人…
設定到我們正常使用的IP…
當他比我們早一步連通網路時…
windows就會跳出一個視窗寫說網路上有一個位址的IP跟您衝突…..
一時間要抓是誰,也很困擾…
若又是緊急需要上網查資料…結果不能用…還真的很想砍人….
但是當有啟動binding以及ip-source-filter時,
就不用擔心有人盜你的IP…
就算他比你早開機…
也不用擔心不能上網,跳出IP衝突的視窗了…
是不是很棒呢…
尚無回應.