DHCP Snooping,IPSG,DAI 配置实例

netgear配置

DHCP Snooping，IPSG，DAI 配置实例

（本文适用于FSM72xxRS,GSM72xxv2,GSM73xxS,GSM73xxSv2系列交换机8.0以上版本）

一、网络拓扑图及说明

a）拓扑图

b）拓扑说明

汇聚层交换机为GSM7328S,核心交换机为GSM7352S，接入层交换机为FS728TS。GSM7328S上配置IP DHCP Snooping和DAI以及IPSG，上联和下联端口均配置802.1Q VLAN，GSM7352S上配置VLAN路由和DHCP服务器。FS728TS配置二层VLAN。FS728TS的两个VLAN下各接一台电脑。

二、预配置步骤

a. 配置GSM7352S上的VLAN路由和DHCP服务器

i.

ii.

iii.

iv. 创建VLAN 100，200，启用VLAN100，200的路由 将下联端口1/0/48划入VLAN100，200并打tagging。 设置VLAN100，200的IP分别为172.16.100.1/24和172.16.200.1/24 启用DHCP服务，为VLAN100，200建立DHCP地址池。

b. 配置GSM7328S和FS728TS上的VLAN

netgear配置

i.

ii. 创建VLAN 100，200将GSM7328S上联口1/0/24，下联口1/0/2划入VLAN100，200并打tagging。 FS728TS上创建VLAN 100，200，将上联口1/g2划入VLAN100，200并打

tagging，将下联的端口1/e1和1/e2划入100，1/e3和1/e4划入VLAN200，

修改1/e1和1/e2的PVID为100，1/e3和1/e4的PVID为200。

三、DHCP Snooping配置步骤

a)启用DHCP Snooping功能

i. 从Security/Control/DHCP Snooping／GlobalConfiguration页面，将DHCP Snooping

Mode改为Enable, 并添加VLAN 100，VLAN200的DHCP Snooping Mode为Enable。

b)修改端口信任模式

在DHCP Snooping/Interface Configuration页面，将上联口1/0/24的Trust Mode改为Enable。

netgear配置

c） 检查配置效果

i. 从FS728TS的VLAN 100，VLAN200各接1台电脑，能够正常从GSM7352S获取IP地

址。

ii. 查看DHCP Snooping动态绑定表

在DHCP Snooping/Binding Configuration下可以查看到FS728TS的VLAN 100，200

下的电脑获取IP地址的情况。

netgear配置

iii. 更改GSM7328S与GSM7352S上联的端口，从1/0/24改成1/0/23（也将1/0/23端口的

VLAN设置到100，200并tagging）。此时FS728TS下的电脑获取不了IP地址。

d）命令行配置方法 (GSM7328S) #configure

(GSM7328S) (Config)#ip dhcp snooping //开启交换机的dhcp snooping功能

(GSM7328S) (Config)#ip dhcp snooping vlan 100,200 //在VLAN100和200中开

启dhcp snooping功能

(GSM7328S) (Config)#interface 1/0/24

(GSM7328S) (Interface 1/0/24)#ip dhcp snooping trust //更改该端口为信任模式

(GSM7328S) (Interface 1/0/24)#exit

(GSM7328S) (Config)#exit

(GSM7328S) # show ip dhcp snooping binding

Total number of bindings：2

MAC Address IP Address VLAN Interface Type Lease (Secs)

----------------- ------------------- ---------- --------- ------------ --------------

00:15:60:BA:A0:3B 172.16.200.2 200 1/0/2 DYNAMIC 53146

00:1B:24:83:11:33 172.16.100.3 100 1 /0/2 DYNAMIC 53838

e）小结

i. 启用DHCP Snooping功能后，可以防止网络中虚假的DHCP服务器给用户分配IP地址。 ii. 可以要求用户必须使用DHCP获取IP地址才能够联网（这样就可以在DHCP服务器上设

定IP和MAC地址对应关系了。

四、配置IP Source Guard（IPSG）

a）启用IP Source Guard

在Security/Control/IP Source Guard/Interface Configuration页面，将下联端口1/0/2的IPSG Mode和IPSG Port Security改为Enable。

netgear配置

命令行配置方法： (GSM7328S)#config

(GSM7328S)(Config)#interface 1/0/2

(GSM7328S) (Interface 1/0/2)#ip verify source port-security

b）检查配置效果

i. 将FS728TS下的电脑手动设置同网段其他IP地址如VLAN100下的电脑改为

172.16.100.4，将不能访问到核心交换机。

ii. 在DHCP Snooping的Binding Configuration增加172.16.100.4的静态绑定，172.16.100.4

恢复访问核心交换机。

命令行配置方法：

(GSM7328S) (Config)#ip dhcp snooping binding 00:1b:24:83:11:33 vlan 100

172.16.100.4 interface 1/0/2

iii. 停用DHCP Snooping，并清除DHCP Snooping的Binding信息，不管是自动还是手动设

置VLAN 100，200下的电脑设置IP地址，电脑均不能访问核心交换机。 命令行配置方法：

(GSM7328S) #clear ip dhcp snooping binding

iv. 在IP Source Guard的Binding下增加测试电脑的绑定，电脑将恢复与核心交换机通讯。

netgear配置

命令行配置方法： (GSM7328S) (Config)#ip verify binding 00:1B:24:83:11:33 vlan 100

172.16.100.3 interface 1/0/2

(GSM7328S) (Config)#ip verify binding 00:15:60:BA:A0:3B vlan 200

172.16.200.2 interface 1/0/2

v. 将两台电脑互换IP和端口（相当于其他电脑盗用原电脑的IP地址），两台电脑都不能访

问核心交换机。

vi. 到IP Source Guard的Interface Configuration页面，将1/0/2

端口的IPSG Port Security

改为Disable，只启用IPSG Mode。两台电脑则恢复与核心交换机通讯，此时只绑定IP

地址，没有绑定MAC地址

命令行配置方法： (GSM7328S)#config

(GSM7328S)(Config)#interface 1/0/2

(GSM7328S) (Interface 1/0/2)#ip verify source

vii. 取消IPSG，清除IPSG绑定表

将1/0/2端口上的IPSG Mode改为Disable则取消了

清除IPSG绑定表可以到Binding Configuration页面，全部选中，点击delete清除。

netgear配置

c）小结

1. 可以通过IP Source Guard对用户的IP/MAC/VLAN/端口进行绑定。

2. 绑定表可以利用DHCP Snooping的动态/静态 …… 此处隐藏：3964字，全部文档内容请下载后查看。喜欢就下载吧 ……