• 所有问题

    • 如何阻止客户修改IP?

    如题所述

    举报该问题
    推荐答案   推荐于2019-09-13
    你好,

    “arp 10.98.0.14 90fb.a613.6842 arpa”

    这个命令的作用是其他主机(即其他mac地址)不能再使用“10.98.0.14”这个IP,但是“90fb.a613.6842”这个mac地址对应的主机仍然可以使用其他IP地址。

    如果你要完全绑定ARP-MAC的映射,可以使用“Cisco交换机提供的DAI(Dynamic ARP Inspection,动态ARP检测)机制”。
    这个配置有点麻烦,且有风险,如果不能在端口绑定mac和IP,我所知道的就这个了。
    当然,最简单的还是1楼所说,直接在端口绑定IP,这样不论它哪个主机接入这个端口都只能用指定的IP地址。

    你的需求是绑定APP(IP-MAC的映射),但不是在端口绑定。
    方法如下:
    借用Cisco交换机提供的DAI(Dynamic ARP Inspection,动态ARP检测)机制,它原本以DHCP Snooping绑定表为基础,对ARP报文进行有效性检测。

    如果交换机没有采用DHCP服务,可以通过静态添加ARP Access-list,作为其判断的依据。

    不知道你的具体网络结构,我以前实验过,在实验的环境中划分了VLan,并且有交换机级联,提供如下,供你参考:

    配置如下:(此处配置按照没有启用DHCP服务的背景来配置)
    在各接入层交换机以及核心交换机配置如下:(配置除具体端口外,其他相同)
    3b#config terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    3b(config)#arp access-list Vlan3-Static-Arp //定义ARP Access-list名称
    3b(config-arp-nacl)#permit ip host 172.16.8.1 mac host 123d.ded9.25df //定义合法的ARP对应关系(按需求定义多个,这里只列出1个)
    3b(config-arp-nacl)#exit
    3b(config)#int gigabitEthernet 0/51 (与其他交换机相连的端口)
    3b(config-if)#ip arp inspection trust //将接入层交换机与核心层交换机的连接端口(Trunk)定义为可信任端口
    //此定义信任端口的命令非常重要!!!!如果不配置会导致网络瘫痪
    3b(config-if)#exit
    3b(config)#ip arp inspection filter Vlan3-Static-Arp vlan 3 //定义将哪个ARP访问列表应用到哪个VLAN
    3b(config)#ip arp inspection vlan 3 //应用ARP检测,定义对哪些VLAN进行ARP报文检测

    最后,当端口接收到非法的ARP报文时,交换机将其丢弃并报警,报警信息如下:
    1w4d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Gi0/5, vlan 3. ([098a.8989.6d77/172.16.8.54 /0000.0000.0000/172.16.8.20/02:58:47 UTC Sat May 22 2010]) /*交换机DAI机制拒绝:1个无效的ARP请求信息来自端口Gi0/5,隶属于vlan 3,ARP报文中源主机MAC:098a.8989.6d77,IP:172.16.8.54,请求172.16.8.20的MAC地址

    以上,供参考,有问题M我一起探讨。

    端口绑定IP及MAC

    3b#config t
    Enter configuration commands, one per line. End with CNTL/Z.
    3b(config)#access-list 101 permit ip host 172.16.5.26 any //建立访问控制列表101,指定允许的IP地址
    3b(config)#int g0/21 //进入指定的端口配置
    3b(config-if)#ip access-group 101 in //应用访问控制列表101,即仅允许172.16.5.26这个IP接入交换机此端口
    3b(config-if)#switchport mode access //将此端口设置为access模式,否则将无法配置MAC绑定
    3b(config-if)#switchport port-security mac-address 00d0.99dh.76e8 //仅允许指定的mac地址接入
    3b(config-if)#switchport port-security violation protect //若其他mac地址接入,惩罚措施为“protect”,即接入者无法通信;另外还有“restrict”和“shutdown”两种措施,这两种措施更严厉,比如“shutdown”的惩罚措施是,当非指定的mac地址接入后,该端口“down”掉,再次重启时需要管理员登陆到交换机手工重启,而“protect”就不用,仅仅不能通信而已。
    3b(config-if)#switchport port-security //启用端口安全策略,即对mac地址绑定的策略生效。
    温馨提示:答案为网友推荐,仅供参考
    相似回答
    如何禁止他人修改本机普通用户的IP地址答:1、依次点击“开始”—>“运行”—>输入“gpedit.msc”—点击“确定”。2、依次展开“用户配置”—>“管理模版”—>“网络”—“网络连接”。3、双击“禁止添加或删除用于LAN连接或远程访问连接的组建”,并选择“已启用”。4、通过以上操作之后,再次在“本地连接”—>“属性”中更改IP地址就起不...
    Win7如何禁止修改ip地址?答:1、打开”运行“窗口(win+r) 。2、输入“gpedit.msc” ,点击“确定”3、在打开的“本地组策略编辑器”中,依次展开“用户配置——管理模版——网络——网络连接”。4、在“网络连接”选项的右侧窗口,找到“为管理员启用Windows2000网络连接设置”。5、双击打开为管理员启用Windows2000网络连接设置”。
    如何阻止客户修改IP?答:你的需求是绑定APP(IP-MAC的映射),但不是在端口绑定。方法如下:借用Cisco交换机提供的DAI(Dynamic ARP Inspection,动态ARP检测)机制,它原本以DHCP Snooping绑定表为基础,对ARP报文进行有效性检测。如果交换机没有采用DHCP服务,可以通过静态添加ARP Access-list,作为其判断的依据。不知道你的具体...
    如何使局域网内的电脑IP不可修改?答:第三招:隐身大法——让擅改IP地址的人无从下手 前两招使出后,已能防止绝大多数人擅自修改自己的IP地址了,为了杜绝后患,还有一个好方法,那就是将能够修改IP地址的地方全部给隐藏掉。能够修改IP地址的地方有:一是通过右击桌面右下方系统托盘中的“本地连接”图标;二是通过“网上邻居”进行修改;三...
    在企业局域网中,不让每台电脑的IP地址如何做到呢?让客户端自己改不...答:用户都是用管理员身份登陆的,管理员当然有更改ip地址的权限,只要不起冲突让他们改就是了。可以实验一下以下的方法。将IP与MAC地址绑定!注:IP地址与MAC地址的关系: IP地址是根据现在的IPv4标准指定的,不受硬件限制比较容易记忆的地址,长度4个字节。而 MAC地址却是用网卡的物理地址,保存在网卡的...
    大家正在搜
    如何打电话给客户修改差评关于修改客户信息客户信息修改业务是什么银行个人客户信息修改银行客户信息修改规定客户信息管理修改存期只能客户信息管理修改存期邮政客户信息录入修改邮政客户身份信息修改
    相关问题
    如何禁止他人修改本机普通用户的IP地址
    IP被设置了禁止修改,该怎么解除?
    如何在电脑管理员用户上设置禁止更改IP?
    如何修改被管理员禁止修改的IP
    如何禁止用户用软件更改ip地址
    怎么禁止用户更改TCP/IP协议
    如何禁止局域网用户自行修改IP地址?
    如何防止客户端使用静态IP导致IP地址冲突