阻止用户设置特定的静态 IP

网络工程 IPv4 ARP 生命值 hp-procurve
2022-02-25 08:55:02

我有一个 HP procurve 交换环境,其中用户通常被分配静态 IP。一位用户将其 IP 更改172.17.1.1为核心交换机 VLAN 10 接口。由于环境中的所有用户都有动态 ARP 表,因此只要该用户连接,ARP 条目就会受到影响,并且会出现虚假中断。

为了防止这种情况再次发生,我们可以采取 3 种方法:

  • 发布 GPO 以防止用户修改自己的设置,但这不适用于非域设备
  • 更改该子网上的现有关键设备以使用静态 ARP 表,但这并不能真正“解决”问题,只是缓解它。它仍然会影响新设备,并且每个设备都需要在安装时添加一个静态 ARP 条目,并在更换交换机时进行更改。
  • 也许是最好的解决方案,ip source-binding在交换基础设施上使用命令来确保将其 IP 更改为核心交换机 VLAN 接口上网关的任何人都无法访问网络。

我的问题是:

  1. 我认为这ip source-binding是最好的选择是否正确?用于在相应 VLAN 中具有 IP 的交换机,否则它将没有该 VLAN 的 ARP 表。
  2. 如果是这样,如何ip source-binding绑定交换机本身的 VLAN 接口?我想确保交换机丢弃所有声称自己的 IP 地址为 172.17.1.1 的传入 ARP 响应

附加信息:核心交换机(我们要限制 ARP 流量的地方)是运行固件版本 KB.15.17.0008 的 5412R Zl2 机箱(型号 J9851A)

谢谢

1个回答

5400 系列支持带有 ARP 保护的 DHCP 侦听,这是您的最佳选择。这些强制客户端使用由授权的 DHCP 服务器分配的 IP 地址。丢弃任何其他流量(使用可选的 SNMP 陷阱)。

在您的 DHCP 服务器上使用预留允许您为每个客户端分配和集中管理特定的 IP 地址 - 这比手动管理静态 IP 好得多。

然后强制客户端使用 DHCP:

    dhcp-snooping authorized server [dhcp-server]
    dhcp-snooping trust [server-port]
    dhcp-snooping vlan [vlid]
    dhcp-snooping verify
    arp-protection vlan [vlid]
  • [dhcp-server] 是您的 DHCP 服务器的 IP 地址
  • [server-port] 是 DHCP 服务器所在的端口
  • [vlid] 是来自客户端网络的 VLAN ID

警告:使用该配置,只有具有有效 DHCP 租约的客户端才能进行通信。您需要定义允许具有任意 IP 地址的客户端的端口:

arp-protection trust [port list]

除了DHCP 和侦听之外,您还可以使用静态数据库来提供 ARP 保护(ip source-binding)——这可能很难维护(除了实际的客户端配置),所以无论如何我都会使用 DHCP。

当然,还有其他方法可以完成您想要的 - 删除管理员权限或使用 GPO 强制执行配置在这里是题外话。

其它你可能感兴趣的问题
上一篇VTP如何处理修订冲突 下一篇为什么 E-Tree 服务中的所有叶子节点都属于同一个子网?