解决在DHCP环境下私自指定ip和私自搭建dhcp服务器的方法.docVIP

标题：解决在DHCP环境下私自指定ip和私自搭建dhcp服务器的方法＜上一帖 | 下一帖＞ 网络管理员：现在用户真是不省心，自己改个IP地址；私接AP、忘关DHCP，还有的下个小黑客程序，就想在你内网里试试。单靠交换机能管吗？ 　　测试工程师：能！很多交换机上的小功能都可帮大忙。 　　测试实况： 　　 　　IP与MAC绑定 　　思科的Catalyst 3560交换机支持DHCP Snooping功能，交换机会监听DHCP的过程，交换机会生成一个IP和MAC地址对应表。思科的交换机更进一步的支持IP source guard和Dynamic ARP Inspection功能，这两个功能任启一个都可以自动的根据DHCP Snooping监听获得的IP和MAC地址对应表，进行绑定，防止私自更改地址。 　　Dynamic ARP Inspection功能还有一个好处是可以防范在2层网络的中间人攻击。 　　思科在DHCP Snooping上还做了一些非常有益的扩展功能，比如Catalyst 3560交换机可以限制端口通过的DHCP数据包的速率，粒度是pps，这样可以防止对DHCP服务器的进行地址请求的DoS攻击。另外Catalyst 3560交换机还支持DHCP Tracker，在DHCP请求中插入交换机端口的ID，从而限制每个端口申请的IP地址数目，防止黑客程序