如何有效管理外来人员进入公司网络-网络通信专区

如何有效管理外来人员进入公司网络

作者：转转编辑： IT168 2006-07-20 00:00

四，高级方法——DHCP SNOOPING：

实际情况中上面出现问题都是因为非法用户自己修改自己的IP地址以及MAC地址造成的，那么我们有没有一种办法能够限定普通用户必须使用自动获得IP地址的方法来上网呢？如果可以限制的话，那么非法用户即使修改自己的IP地址与MAC地址为合法信息也无法正常上网。一般来说我们可以在路由交换设备上启用DHCP SNOOPING功能。不过这个功能并不是所有设备都有的，使用前请仔细查询说明书。

DHCP SNOOPING使用的方法是采用DHCP方式为用户分配IP，然后限定这些用户只能使用动态IP的方式，如果改成静态IP的方式则不能连接上网络。以下是一个简单的例子。

ip dhcp snooping vlan 180-181
// 对哪些VLAN 进行限制
ip dhcp snooping
ip arp inspection vlan 180-181
ip arp inspection validate src-mac dst-mac ip

errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause l2ptguard
errdisable recovery cause psecure-violation
errdisable recovery cause gbic-invalid
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause unicast-flood
errdisable recovery cause vmps
errdisable recovery cause arp-inspection
errdisable recovery interval 30
spanning-tree extend system-id
!
!

interface GigabitEthernet2/1
// 对该端口接入的用户进行限制，可以下联交换机
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100

第1页：基本方法—禁用DHCP功能第2页：中级方法—多种办法应对非法IP 第3页：高级方法—DHCP SNOOPING 第4页：总结

关注我们