S21交换机全面防护ARP欺骗案例总结.docVIP

S2100系列交换机 S2100系列交换机分为S2126G、S2150G、S2126S和S2126共四款型号。 STAR-S2126G STAR-S2150G S2100系列交换机S21交换机全面防护ARP欺骗: ●服务商工程师 ○用户 生效日期： 2007-10-25 如果您在阅读中产生疑问，请与文档维护人联系。 更新纪录 修订日期 产品软件版本 修订者 修订者EMail 2007-10-25 V1.68 李林 lilin@ 更新记录按照时间倒序的方式进行排版，最后更新在第一行插入，并更改对应的内容 目录 1. 标题： 3 2. 故障设备（设备名称、设备硬件版本、软件版本） 3 3. 故障描述 3 4. 解决方法简述 4 5. 技术要点（关键词） 4 6. 网络拓扑 4 7. 分析套路 4 8. 产品特性 4 1,我司S21交换机在v1.68版本下,S21做DHCP中继,管理VLAN与用户VLAN分开的情况下,配合DHCP,OPTION82功能,自动绑定用户IP与MAC,端口。 S21详细配置： sh running-config System software version : 1.68 Build Apr 25 2007 Release Building configuration... Current configuration : 682 bytes version 1.0 hostname Switch vlan 1 vlan 7 vlan 136 port-security arp-check port-security arp-check cpu // 启用arp-check，21会对送入CPU的arp进行检测，如果该ARP sender IP/MAC不是DHCP relay下发的IP/MAC地址,将会对其进行丢弃 service dhcp service dhcp address-bind port ip helper-address .45.240.143 ip dhcp relay information option82 //如果用户端未开启802.1X,需要设置dhcp relay基于option82 interface fastEthernet 0/1 switchport access vlan 136 interface fastEthernet 0/5 // 端口上必须开启端口安全，它是启用ARP-check的前提，如未开启，则ARP-check不生效 switchport access vlan 7 switchport port-security interface fastEthernet 0/7 switchport access vlan 7 switchport port-security interface fastEthernet 0/8 switchport access vlan 7 switchport port-security interface fastEthernet 0/24 switchport mode trunk interface vlan 1 no shutdown ip address 0 ip default-gateway end 2,DHCP服务端配置，需要注意的是：dhcp必须采用linux操作系统。 具体配置linux，DHCP服务器不做描述，重点介绍服务器中的dhcpd.conf文件。 option domain-name XXXX.; //定义DHCP域名 option domain-name-servers .45.240.99,xxx.45.240.1; //定义DNS服务器地址 authoritative; default-lease-time 12800; //缺省租期 max-lease-time 86400; //最大租期限 ddns-update-style none; log-facility local6; class vlan7{ //定义VLAN7的16进制值,如vlan7的16进制为7. match if substring (option agent.circuit-id,2,2) = 00:07; //(option agent.circuit-id,2,2)中