設置的靜態IP被搶占了,如何才能保證自己獨有這個IP,不被搶占。
- 0關注
- 1收藏,308瀏覽
問題描述:
終端設置靜態IP被其他用戶搶占導致合法用戶不能上網。目前如何阻止哪個搶占IP的人上網,並保證擁有這個IP的正常用戶上網。是要刪除搶占那個人的ARP表項並將正常用戶的IP和MAC地址綁定嗎。但是刪除了搶占那個終端的ARP表項馬上又有了,是不是要先阻止交換機學習這個MAC。
- 2025-05-08提問
- 舉報
-
(0)
可以通過以下步驟阻止非法用戶搶占靜態IP並保證合法用戶正常上網:
1. 配置DHCP Snooping + ARP檢測:
# 全局啟用DHCP Snooping
system-view
dhcp snooping enable
# 信任上行接口(如連接DHCP服務器的接口)
interface
Ten-GigabitEthernet 1/0/3
dhcp snooping trust
# 在用戶側接口啟用DHCP Snooping綁定表記錄
interface
Ten-GigabitEthernet 1/0/1
dhcp snooping binding record
# 開啟ARP檢測並配置合法性檢查
vlan
10
arp
detection enable
interface
Ten-GigabitEthernet 1/0/3
arp detection trust # 僅對信任端口放通ARP
2. IP+MAC靜態綁定(針對合法用戶)
# 方法1:全局ARP靜態綁定
arp
static 192.168.1.100 0001-0203-0405 vlan 10
# 方法2:接口級IP Source Guard動態綁定
interface
Ten-GigabitEthernet 1/0/1
ip
source binding ip-address 192.168.1.100 mac-address 0001-0203-0405 vlan 10
ip verify source ip-address mac-address
3. 阻止非法用戶:
# 將被搶占的IP加入全局排除列表
dhcp server forbidden-ip 192.168.1.100
# 配置端口安全(限製每個端口隻能學習合法MAC)
port-security
enable
interface
Ten-GigabitEthernet 1/0/1
port-security
max-mac-count 1
port-security
port-mode autolearn
port-security mac-address security 0001-0203-0405 vlan 10
4. 啟用ARP主動防禦:
# 防止ARP攻擊
arp anti-attack active-ack enable
arp anti-attack source-mac filter # 檢測源MAC固定攻擊
果說明:
- 2025-05-08回答
- 評論(0)
- 舉報
-
(1)
配置DHCP Snooping + ARP檢測(核心方案)
- 開啟DHCP Snooping
確保隻有合法DHCP服務器分配的IP和MAC綁定關係生效,阻斷非法靜態IP的DHCP請求:system-view dhcp snooping enable interface [非法用戶接入端口] dhcp snooping untrust quit - 啟用ARP Detection
在用戶VLAN下開啟ARP合法性檢查,僅允許DHCP Snooping綁定表中的ARP報文通過:vlan [用戶VLAN號] arp detection enable quit - 配置上行接口為信任端口
確保合法網關的ARP報文不被過濾:interface [上行接口] arp detection trust quit
- 2025-05-09回答
- 評論(0)
- 舉報
-
(0)
暫無評論
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論