社区
windows网络管理与配置
帖子详情
Cisco 交换机开启DHCP后,根据MAC地址查IP
rongxiaoxie
2010-05-31 02:54:00
我想知道CISCO的查看命令。
我有台设备,知道MAC地址,开启了自动获取IP,在三层交换机3750上开启了DHCP,想通过交换机知道这个设备的IP地址。
现在想问大虾们,我在三层交换机里面,输入什么命令可以查看我的IP池里面每个IP分配给了哪个MAC地址?
...全文
472
4
打赏
收藏
Cisco 交换机开启DHCP后,根据MAC地址查IP
我想知道CISCO的查看命令。 我有台设备,知道MAC地址,开启了自动获取IP,在三层交换机3750上开启了DHCP,想通过交换机知道这个设备的IP地址。 现在想问大虾们,我在三层交换机里面,输入什么命令可以查看我的IP池里面每个IP分配给了哪个MAC地址?
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
4 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
hlc19920210520
2010-06-01
打赏
举报
回复
show ip dhcp 池名字
wuhan_cd
2010-06-01
打赏
举报
回复
#show ip dhcp binding
rongxiaoxie
2010-06-01
打赏
举报
回复
三年前我用过,三年后我把它还给老师了.........
还有谁知道啊
空心兜兜
2010-05-31
打赏
举报
回复
-0-
不知
但一定能查到
找找手册
解决
IP
地址冲突的完美方法--
DHCP
SNOOPING
解决
IP
地址冲突的完美方法--
DHCP
SNOOPING 使用的方法是采用
DHCP
方式为用户分配
IP
,然后限定这些用户只能使用动态
IP
的方式,如果改成静态
IP
的方式则不能连接上网络;也就是使用了
DHCP
SNOOPING功能。 例子: version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption service compress-config ! hostname C4-2_4506 ! enable password xxxxxxx! clock timezone GMT 8
ip
subnet-zero no
ip
domain-lookup !
ip
dhcp
snooping vlan 180-181 // 对哪些VLAN 进行限制
ip
dhcp
snooping
ip
arp inspection vlan 180-181
ip
arp inspection validate src-mac dst-mac
ip
errdisable recovery cause udld errdisable recovery cause bpduguard errdisable recovery cause security-violation errdisable recovery cause channel-misconfig errdisable recovery cause pagp-flap errdisable recovery cause dtp-flap errdisable recovery cause link-flap errdisable recovery cause l2ptguard errdisable recovery cause psecure-violation errdisable recovery cause gbic-invalid errdisable recovery cause
dhcp
-rate-limit errdisable recovery cause unicast-flood errdisable recovery cause vmps errdisable recovery cause arp-inspection errdisable recovery interval 30 spanning-tree extend system-id ! ! interface GigabitEthernet2/1 // 对该端口接入的用户进行限制,可以下联
交换机
ip
arp inspection limit rate 100 arp timeout 2
ip
dhcp
snooping limit rate 100 ! interface GigabitEthernet2/2
ip
arp inspection limit rate 100 arp timeout 2
ip
dhcp
snooping limit rate 100 ! interface GigabitEthernet2/3
ip
arp inspection limit rate 100 arp timeout 2
ip
dhcp
snooping limit rate 100 ! interface GigabitEthernet2/4
ip
arp inspection limit rate 100 arp timeout 2
ip
dhcp
snooping limit rate 100 --More-- 编者注:对不需要明确地址的所有人的时候是一个很好的解决办法。另外,可以
查
看www.
cisco
.com的
IP
Source Guard Similar to
DHCP
snooping, this feature is enabled on a
DHCP
snooping untrusted Layer 2 port. Initially, all
IP
traffic on the port is blocked except for
DHCP
packets that are captured by the
DHCP
snooping process. When a client receives a valid
IP
address from the
DHCP
server, or when a static
IP
source binding is configured by the user, a per-port and VLAN Access Control List (PACL) is installed on the port. This process restricts the client
IP
traffic to those source
IP
addresses configured in the binding; any
IP
traffic with a source
IP
address other than that in the
IP
source binding will be filtered out. This filtering limits a host's ability to attack the network by claiming neighbor host's
IP
address.
Dhcp
两大威胁以及arp欺骗等试验总结
Dhcp
两大威胁以及arp欺骗等试验总结 1 伪
dhcp
server。
Dhcp
的工作原理大概是首先client广播
dhcp
discovery消息,本网段的
dhcp
server回送
dhcp
offer消息,客户段再发送
dhcp
request消息,声明自己即将使用的
ip
地址,server发送ack给client告知client可以使用。防止伪
dhcp
其实就可以在
交换机
上启用
dhcp
snooping功能,凡是不信任的端口(信任端口就是
dhcp
server使用的端口,需独立配置),都将拒绝从该端口发送
dhcp
offer消息从而杜绝伪
dhcp
server。 在
cisco
交换机
上全局启用
ip
dhcp
snooping,,并使用命令
ip
dhcp
snooping vlan 2,告知在vlan2里使用snooping,这样所有端口都是非信任端口,都将丢弃
dhcp
offer报文,如果是使用三层
交换机
提供
dhcp
服务,就不比单独配置信任端口了。配置信任端口是在物理端口下使用命令
ip
dhcp
snooping trust. 记住:接入层
交换机
需支持
dhcp
snooping功能;信任端口是在物理端口下配置(包括trunk级联端口) 2
DHCP
dos攻击。主要就是伪造大量
mac地址
去像server申请地址,耗费
dhcp
server地址池,从个人达到拒绝服务攻击的目的。一般用两种方法,但实际操作性都不是太强。第一种办法就是对
交换机
端口规定一些合法的
mac地址
池,只有在此范围内的主机才可以通过该端口进行转发。或者限制最大
mac地址
数。这样客户端就没办法伪造
mac地址
去申请
ip
了。
Cisco
交换机
就是在物理端口下使用switchport port-security mac-add命令填加,这种方法工作量大且不能满足移动性的要求。另一种方法就是与实际认证系统相结合,认证系统首先对
MAC地址
进行第一次认证,只有
MAC地址
是合法的,才允许
DHCP
Sever分配
IP
地址给终端,这主要用到802.1x认证协议和radius认证服务器。 3 有时候为了需要,不希望用户自己设定
ip
地址来上网,也就是说限制用户只能动态获取地址才能上网,自己固定地址不能上网。这种就相对比较简单,不需要在接入层上做什么设置,也就是不要求接入层支持
dhcp
snooping功能。只需要在三层
交换机
上使用如下命令就搞定。
Ip
arp inspection vlan 500 //vlan500下面启用arp inspection功能
Ip
arp inspection validate src-mac dst-mac
ip
//只有源mac 目的mac和
ip
都正确才合法 这里必须还是先在三层
交换机
上启用
ip
dhcp
snooping功能 同时监控snooping vlan 500。因为arp inspection实际是根据
dhcp
绑定信息来判断的。如果用户不是自动获取
ip
,而是自己设置
ip
,那么它就不会被
dhcp
snooping捕获到,当然所有的该
ip
地址发送的arp请求都会被网关拒绝掉的(因为源,目的mac和
ip
地址都是不合法的,自然被认为是非法的arp请求)。但是固定
ip
时是可以跟本局域网内其它机器通信的,只是不能通过arp协议学习到网关的
mac地址
。 注:以上的
dhcp
server都是在三层
交换机
上启用的。 4 arp欺骗。可以分两种情况:一是伪造网关去欺骗网内其它主机;而是伪造其它主机去 欺骗网关。当然更严重的是两种情况同时存在,并开始数据转发功能,这就是一种中间 人攻击(双方欺骗),可以嗅探数据包(代理arp功能跟此类似,很多计费网关和一些透明防火墙就利用了代理arp功能)。从某种意义上说,arp欺骗就是一种代理arp。 神码可提供专门的在接入层
交换机
使用ACL来限制客户仿冒网关,这个acl就是限制该端口下不允许发送网关地址的arp通告报文,这样可以有效的防止伪造网关去欺骗其它主机。 (Config)# access-list 1101 deny an an untagged-eth2 12 2 0806 20 2 0002 28 4 C0A80001 该ACL说明如下: 13,14字节是arp协议代码0806,21,22字节是0002表示arp reply,29-32字节就是网关
ip
地址的16进制 STEP2:应用ACL (Config)# Firewall enable (Config)# int e 0/0/1-24 //在所有端口下应用该acl (int)# mac access-group 1101 in traffic-statistic 当然,如果知道某个具体端口是什么
IP
地址,那么就可以限制该端口只能发送该
IP
的arp通告是最好了,这就可以完全杜绝arp欺骗。但明显可操作性差。 另一种能较好防止arp欺骗的办法就是在各个主机上绑定网关的mac,同时在网关上静态绑定
IP
+mac。不过这种办法不如前面办法好,它不能防止局域网内部的arp欺骗。 如果采取的是动态获取
ip
地址,神码
交换机
有个新特性,能完全控制arp欺骗。可以防止接入主机假冒网关,可以防止接入主机假冒其它用户;管理复杂度低,
交换机
配置简单并且基本不需要变更;支持用户移动接入,
交换机
可以自动检测到用户接入位置并正确转发用户数据;
ip
dhcp
snooping enable
ip
dhcp
snooping binding enable Interface Ethernet0/0/1
ip
dhcp
snooping binding user-control ! Interface Ethernet0/0/2
ip
dhcp
snooping binding user-control 如果是静态
ip
,需要
ip
+mac+端口的绑定。 am enable Interface Ethernet0/0/1 am port am mac-
ip
-pool 00-1C-23-06-0D-B9 10.10.1.90 还是说说
cisco
交换机
吧。一般采取动态获取
IP
地址的上网方式比较多,先配置
ip
dhcp
snooping 再配置
ip
arp inspection,此时,客户端就应该没办法伪造其它主机去伪造网关,因为这些伪造的arp reply报文在网关看来都是非法的,自然会拒绝。至于伪造网关的防治,大概就只能在用户自己主机上静态绑定arp缓存表了。 1 防止arp扫描。在某些情况下也可抑制arp欺骗。原理就是对物理端口进行arp报文 数量的限制。方法就是在物理端口是使用
ip
arp inspection limit rate 命令限制每秒钟允许通过的arp报文数。 2 伪
mac地址
的防治。
交换机
的
mac地址
表如果被大量充斥,将会影响性能,严重的将会是
交换机
崩溃,因为一般的cam存储都有限。所以这类防治般限制每端口出来的
mac地址
数目即可。至于伪造的防治,那就只能选择port-security了,虽然不能满足移动性的要求。 针对目前学校主干是
cisco
交换机
,接入层品牌太杂,档次参差不齐,用户自动从
cisco
三层
交换机
上获取地址上网的情况,我认为比较好的办法就是在
cisco
交换机
上启用
dhcp
snooping 以及arp inspection功能来尽可能防止arp欺骗。用户还得绑定好网关的
mac地址
。要能更有效的防止arp欺骗和防止伪
dhcp
server,还得升级接入层
交换机
。
switch security.rar
二层安全: 一、MAC layer attacks 攻击方法: 1、
MAC地址
flooding攻击 2、
MAC地址
的欺骗攻击 解决方案: 1、基于源
MAC地址
允许流量:端口安全 2、基于源
MAC地址
限制流量:static CAM 3、阻止未知的单/组播帧 4、802.1x基于端口的认证 二、VLAN attacks 解决方案: 1、switch mode access 2、VACL 3、PVLAN 三、spoof attacks 1、
DHCP
spoof 解决方案:
DHCP
snooping 2、
IP
spoof 解决方案:
IP
源防护 3、ARP spoof 解决方案:1、静态绑定ARP条目 2、DAI 四、attacks on switch devices 1、关闭不必要的服务,比如CDP 2、限制广播/组播流量 3、为
交换机
设置登录密码 4、使用SSH实现安全的登录 <端口安全> ·SW端口安全是2层特性,提供3种保护: 1. 可以限定一个接口所能学习的
MAC地址
数量 2. 可以在一个接口静态绑定
MAC地址
1.基于主机MAC来允许流量 ·可定义2个参数:授权的
MAC地址
/允许学习多少个
MAC地址
(默认=1) ·违背端口安全,采取的行为: 1.shutdown:将永久性或特定周期内Err-Disable端口(默认行为),并发送snmp trap 2.restrict:当超过所允许学习的最大MAC数时,将未授权主机的帧丢弃drop,并将violation计数器增加 3.protect :当超过所允许学习的最大MAC数时,将未授权主机的帧丢弃drop Sw1(config-if)#switchport mode access 启用端口安全时,必须先设为access接口 Sw1(config-if)#switchport port-security 启用端口安全(默认只能学一个MAC) Sw1(config-if)#switchport port-security maximum 1 指定最大允许学多少个地址 Sw1(config-if)#switchport port-security mac-address aaaa.bbbb.cccc 静态指定
MAC地址
(
IP
_MAC address绑定) Sw1(config-if)#switchport port-security violation [protect|restrict|shutdown]指定行为 Sw1(config-if)#switchport port-security aging time 1 (分钟)设定多长时间后能重新学习
MAC地址
,也就是设定现有
MAC地址
的有效期。 Sw1(config-if)#switchport port-security mac-address sticky 将动态学到的地址粘住,永久使用 Sw1#show port-security 可以看到哪些接口应用了端口安全 Sw1#show port-security address 可以看到授权的
MAC地址
Sw1#show port-security interface f0/1 可以看到接口的具体状态 Sw1#show interfaces fastEthernet 0/1 FastEthernet0/1 is down, line protocol is down (err-disabled) 通常做接口安全,要先把接口shut down,这样它就不会自动学习 让err-disable接口自动恢复 errdisable recovery cause psecure-violation show errdisable 2.基于主机MAC来限制流量 (3550上才可以做) 列表中定义的MAC将被限制流量 Sw1(config)#mac-address-table static 0010.7b80.7b9b vlan 1 drop 3.阻塞未知单(组)播扩散 (3550上才可以做) 对未知
MAC地址
,SW将从本VLAN的其他端口转发出去,但对于某些端口(端口安全只需要一个MAC/已到最大MAC)没必要再转发这些单(组)播。就可以在这些端口上设定这一特性,通常结合端口安全来做。 Sw1(config-if)#switchport block [unicast | multicas
WAN综合实验-8.pka
地址分配表 VLAN 配置和端口映射 场景 在这个 CCNA 综合技能练习中,XYZ 公司结合使用 eBGP 和 PPP 实现 WAN 连接。其他技术包括 NAT、
DHCP
、静态和默认路由、适用于
IP
v4 的 EIGRP、VLAN 间路由和 VLAN 配置。安全配置包括 SSH、端口安全、
交换机
安全和 ACL。 注意:仅 HQ、B1、B1-S2 和 PC 可访问。用户 EXEC 密码为
cisco
,特权 EXEC 密码为 class。 要求 PPP · 使用 PPP 封装和 CHAP 身份验证配置从 HQ 到互联网的 WAN 链路。 o 使用密码
cisco
创建用户 ISP。 · 使用 PPP 封装和 PAP 身份验证配置从 HQ 到 NewB 的 WAN 链路。 o 使用密码
cisco
创建用户 NewB。 注意:ppp pap sent-username 不由 Packet Tracer 进行评分。不过,必须在 HQ 和 NewB 之间的链路建立之前配置。 eBGP · 在 HQ 和互联网之间配置 eBGP。 o HQ 属于 AS 65000。 O 互联网云中 BGP 路由器的
IP
地址为 209.165.201.2。 o 向互联网通告 192.0.2.0/24 网络。 NAT · 在 HQ 上配置动态 NAT o 允许使用名为 NAT 的标准访问列表转换 10.0.0.0/8 地址空间的所有地址。 o XYZ 公司拥有 209.165.200.240/29 地址空间。池 HQ 使用掩码为 /29 的地址 .241 至 .245。将 NAT ACL 与池 HQ 绑定。配置 PAT。 o 与互联网和 HQ-DataCenter 的连接位于 XYZ 公司外部。 VLAN 间路由 · 为 B1 配置 VLAN 间路由。 o 使用分支路由器的地址分配表配置并激活用于 VLAN 间路由的 LAN 接口。VLAN 99 为本地 VLAN。 静态路由和默认路由 · 为 HQ 配置通往 NewB LAN 的静态路由。使用送出接口作为参数。 · 为 B1 配置通往 HQ 的默认路由。使用下一跳
IP
地址作为参数。 EIGRP 路由 · 为 HQ 和 B1 配置并优化 EIGRP 路由。 o 使用自主系统 100。 o 在相应接口上禁用 EIGRP 更新。 VLAN 和中继配置 注意:B1-S2 上的记录到控制台功能已关闭,因此本地 VLAN 不匹配消息不会中断配置。如果您想
查
看控制台消息,请输入记录控制台的全局配置命令。 · 在 B1-S2 上配置中继和 VLAN。 o 只在 B1-S2 上创建并命名 VLAN 配置和端口映射表中列出的 VLAN。 o 配置 VLAN 99 接口和默认网关。 o 将 F0/1 到 F0/4 的中继模式设为打开。 o 将 VLAN 分配给适当的接入端口。 o 禁用所有未使用的端口并分配 BlackHole VLAN。 端口安全 · 使用以下策略确保 B1-S2 接入端口的端口安全性: o 允许在端口上获知 2 个 MAC 地址。 o 配置要添加到配置中的已获知的 MAC 地址。 o 将端口设置为在出现安全违规时发送消息。仍然允许来自获知的前两个 MAC 地址的流量。 SSH · 将 HQ 配置为使用 SSH 进行远程访问。 o 将模数设为 2048。域名为 CCNASkills.com。 o 用户名为 admin,密码为 adminonly。 o VTY 线路上应只允许 SSH。 o 修改 SSH 默认值:版本 2;60 秒超时;两次重试。
DHCP
· 在 B1 上,按照以下要求为销售 VLAN 20 配置
DHCP
池: o 排除范围内的前 10 个
IP
地址。 o 池名称是 VLAN20,区分大小写。 o 在
DHCP
配置中添加连接到 HQ LAN 的 DNS 服务器。 · 配置销售 PC 以使用
DHCP
。 访问列表策略 · 由于 HQ 已连接到互联网,请按以下顺序配置和应用名为 HQINBOUND 的命名 ACL: o 允许从任何源地址到任何目的地址的入站 BGP 更新(TCP 端口 179)。 o 允许从任何源地址到 HQ-DataCenter 网络的入站 HTTP 请求。 o 仅允许来自互联网的已建立的 TCP 会话。 o 仅允许来自互联网的入站 ping 回复。 o 明确阻止来自互联网的所有其他入站访问。 连接 · 验证从每台 PC 到 WWW.pka 和 www.
cisco
.pka 是否具有完整连接。 · 外部主机应该能够在 WWW.pka 上访问网页。 · 场景 0 中的所有测试均应成功。
Cisco
培训教材(中文版)
目 录 序言 前言 第1章 网络互连介绍 1 1.1 认证目标1.01:网络互连模型 1 1.1.1 网络的发展 2 1.1.2 OSI模型 2 1.1.3 封装 3 1.2 认证目标1.02:物理层和数据链路层 4 1.2.1 DIX和802.3 Ethernet 5 1.2.2 802.5令牌环网 7 1.2.3 ANSI FDDI 8 1.2.4
MAC地址
9 1.2.5 接口 9 1.2.6 广域网服务 12 1.3 认证目标1.03:网络层和路径确定 17 1.3.1 第3层地址 17 1.3.2 已选择路由协议和路由选择协议 17 1.3.3 路由选择算法和度 18 1.4 认证目标1.04:传输层 18 1.4.1 可靠性 18 1.4.2 窗口机制 18 1.5 认证目标1.05:上层协议 18 1.6 认证目标1.06:
Cisco
路由器、
交换机
和集线器 18 1.7 认证目标1.07:配置
Cisco
交换机
和集线器 20 1.8 认证总结 20 1.9 2分钟练习 22 1.10 自我测试 23 第2章 从
Cisco
IOS软件开始 31 2.1 认证目标 2.01:用户界面 31 2.1.1 用户模式和特权模式 31 2.1.2 命令行界面 32 2.2 认证目标2.02:路由器基础 35 2.2.1 路由器元素 35 2.2.2 路由器模式 35 2.2.3 检
查
路由器状态 37 2.2.4
Cisco
发现协议 38 2.2.5 远程访问路由器 39 2.2.6 基本测试 39 2.2.7 调试 40 2.2.8 路由基础 41 2.3 认证目标2.03:初始配置 43 2.3.1 虚拟配置注册表设置 46 2.3.2 启动序列:引导系统命令 47 2.3.3 将配置传送到服务器或从服务器 上复制配置 47 2.4 认证目标2.04:自动安装配置数据 49 2.5 认证总结 49 2.6 2分钟练习 50 2.7 自我测试 51 第3章
IP
寻址 58 3.1 认证目标3.01:
IP
地址类 58 3.1.1
IP
地址的结构 58 3.1.2 特殊情况:回路、广播和网 络地址 59 3.1.3 识别地址类 60 3.1.4 子网掩码的重要性 61 3.1.5 二进制和十进制互相转换 62 3.2 认证目标3.02:子网划分和子网掩码 64 3.2.1 子网划分的目的 65 3.2.2 在默认子网掩码中加入位 65 3.3 认证目标3.03:子网规划 66 3.3.1 选择子网掩码 66 3.3.2 主机数目的影响 66 3.3.3 确定每个子网的地址范围 67 3.4 认证目标3.04:复杂子网 68 3.4.1 子网位穿越8位位组边界 68 3.4.2 变长子网掩码 69 3.4.3 超网划分 70 3.5 认证目标 3.05:用
Cisco
IOS配 置
IP
地址 71 3.5.1 设置
IP
地址和参数 71 3.5.2 主机名称到地址的映射 71 3.5.3 使用ping 72 3.5.4 使用
IP
TRACE和Telnet 73 3.6 认证总结 73 3.7 2分钟练习 74 3.8 自我测试 75 第4章 TCP/
IP
协议 88 4.1 认证目标 4.01:应用层服务 89 4.2 认证目标 4.02:表示和会话层服务 89 4.2.1 远程过程调用 89 4.2.2 Socket 89 4.2.3 传输层接口 90 4.2.4 NetBIOS 90 4.3 认证目标4.03:协议的详细结构 90 4.3.1 传输层 91 4.3.2 TCP 91 4.3.3 UDP 93 4.4 认证目标4.04:网络层 94 4.4.1 网际协议 94 4.4.2 地址解析协议 95 4.4.3 反向地址解析协议 96 4.4.4 逆向地址解析协议 96 4.4.5 网际控制消息协议 96 4.5 认证目标4.05:操作系统命令 97 4.5.1 UNIX 97
windows网络管理与配置
6,185
社区成员
60,364
社区内容
发帖
与我相关
我的任务
windows网络管理与配置
windows网络管理与配置
复制链接
扫一扫
分享
社区描述
windows网络管理与配置
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章