j'ai compris
Communauté de Support de Huawei Entreprise
Communauté Forums Routage & Commutation
Comment empêcher les uti...

Comment empêcher les utilisateurs de configurer des adresses IP statiques sans autorisation

publié il y a  2019-12-31 09:51:27Dernière réponse dic. 31, 2019 09:53:28 262 1 0 0 0
  Récompense F-coins.: 0 (Résolu)
Tout afficher 1#

Si je n'utilise pas NAC, alloue des adresses IP à l'aide de DHCP, comment empêcher les utilisateurs de configurer des adresses IP statiques sans autorisation?


  • x
  • Standard:

Aime (0) N'aime pas (0) Favoris(0) Partager Rapport
Précédent: Quelles sont les similitudes et les différences entre IS-IS CSNP et OSPF DD?
Prochain: Comment configurer la défense contre les attaques par inondation ARP
Réponses en vedette

Meilleure réponse

(0) (0)
mariano93
publié il y a 2019-12-31 09:53:28

La fonction DHCP Snooping peut générer des entrées de liaison dynamique. Pour les utilisateurs avec des adresses IP statiques, vous pouvez configurer manuellement les entrées de liaison statique. En vérifiant la correspondance du port IP + MAC + dans la table de liaison, le commutateur peut empêcher l'utilisateur de définir l'adresse IP sans autorisation. 

Par exemple, tous les utilisateurs IP statiques sur le port Ethernet0 / 0/1 à l'exception de l'utilisateur avec l'adresse IP statique 10.10.10.2 et l'adresse MAC 0010-0010-0010 ne sont pas autorisés à accéder à Internet. La configuration est la suivante:

1.    Enable the DHCP Snooping function in the user VLAN.
[huawei]dhcp snooping enable
[huawei]vlan 100
[huawei-vlan10]dhcp snooping enable

2. Configure Static Binding Entries
[huawei]user-bind static ip-address 10.10.10. mac-address 0010-0010-0010 interface ethernet 0/0/1

3. Configure the packet check on the user-side interface.
[huawei]interface ethernet 0/0/1
[huawei-ethernet 0/0/1port link-type access
[huawei-ethernet 0/0/1port default vlan 100
[huawei-ethernet 0/0/1arp anti-attack check user-bind enable // Enable ARP check to prevent IP address conflicts caused by incorrect IP address configuration.
[huawei-ethernet 0/0/1ip source check user-bind enable  // Enable IP packet check to prevent unauthorized users from accessing the network.


View more
  • x
  • Standard:
Toutes les réponses
mariano93
mariano93 publié il y a 2019-12-31 09:53:28

La fonction DHCP Snooping peut générer des entrées de liaison dynamique. Pour les utilisateurs avec des adresses IP statiques, vous pouvez configurer manuellement les entrées de liaison statique. En vérifiant la correspondance du port IP + MAC + dans la table de liaison, le commutateur peut empêcher l'utilisateur de définir l'adresse IP sans autorisation. 

Par exemple, tous les utilisateurs IP statiques sur le port Ethernet0 / 0/1 à l'exception de l'utilisateur avec l'adresse IP statique 10.10.10.2 et l'adresse MAC 0010-0010-0010 ne sont pas autorisés à accéder à Internet. La configuration est la suivante:

1.    Enable the DHCP Snooping function in the user VLAN.
[huawei]dhcp snooping enable
[huawei]vlan 100
[huawei-vlan10]dhcp snooping enable

2. Configure Static Binding Entries
[huawei]user-bind static ip-address 10.10.10. mac-address 0010-0010-0010 interface ethernet 0/0/1

3. Configure the packet check on the user-side interface.
[huawei]interface ethernet 0/0/1
[huawei-ethernet 0/0/1port link-type access
[huawei-ethernet 0/0/1port default vlan 100
[huawei-ethernet 0/0/1arp anti-attack check user-bind enable // Enable ARP check to prevent IP address conflicts caused by incorrect IP address configuration.
[huawei-ethernet 0/0/1ip source check user-bind enable  // Enable IP packet check to prevent unauthorized users from accessing the network.


View more
  • x
  • Standard:
Retour à la liste

Commentaire

Avancé
B Color Image Link Quote Code Smilies
Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier
Site Web Huawei Assistance À propos de Huawei Politique de confidentialité Accord utilisateur Conditions d'utilisation Cookies Préférences Cookies Formation & Certification

Contactez-nous: e_online@huawei.com Copyright © 2022 Huawei Technologies Co., Ltd. Tous droits réservés.

APP

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.