Cisco 交换机开启DHCP后,根据MAC地址查IP

rongxiaoxie 2010-05-31 02:54:00
我想知道CISCO的查看命令。
我有台设备,知道MAC地址,开启了自动获取IP,在三层交换机3750上开启了DHCP,想通过交换机知道这个设备的IP地址。
现在想问大虾们,我在三层交换机里面,输入什么命令可以查看我的IP池里面每个IP分配给了哪个MAC地址?
...全文
472 4 打赏 收藏 转发到动态 举报
写回复
用AI写文章
4 条回复
切换为时间正序
请发表友善的回复…
发表回复
hlc19920210520 2010-06-01
  • 打赏
  • 举报
 回复
show ip dhcp 池名字
wuhan_cd 2010-06-01
  • 打赏
  • 举报
 回复
#show ip dhcp binding
rongxiaoxie 2010-06-01
  • 打赏
  • 举报
 回复
三年前我用过,三年后我把它还给老师了.........

还有谁知道啊
空心兜兜 2010-05-31
  • 打赏
  • 举报
 回复
-0-
不知
但一定能查到
找找手册
解决IP地址冲突的完美方法--DHCP SNOOPING
解决IP地址冲突的完美方法--DHCP SNOOPING 使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING功能。 例子: version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption service compress-config ! hostname C4-2_4506 ! enable password xxxxxxx! clock timezone GMT 8 ip subnet-zero no ip domain-lookup ! ip dhcp snooping vlan 180-181 // 对哪些VLAN 进行限制 ip dhcp snooping ip arp inspection vlan 180-181 ip arp inspection validate src-mac dst-mac ip errdisable recovery cause udld errdisable recovery cause bpduguard errdisable recovery cause security-violation errdisable recovery cause channel-misconfig errdisable recovery cause pagp-flap errdisable recovery cause dtp-flap errdisable recovery cause link-flap errdisable recovery cause l2ptguard errdisable recovery cause psecure-violation errdisable recovery cause gbic-invalid errdisable recovery cause dhcp-rate-limit errdisable recovery cause unicast-flood errdisable recovery cause vmps errdisable recovery cause arp-inspection errdisable recovery interval 30 spanning-tree extend system-id ! ! interface GigabitEthernet2/1 // 对该端口接入的用户进行限制,可以下联交换机 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/2 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/3 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/4 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 --More-- 编者注:对不需要明确地址的所有人的时候是一个很好的解决办法。另外,可以看www.cisco.com的 IP Source Guard Similar to DHCP snooping, this feature is enabled on a DHCP snooping untrusted Layer 2 port. Initially, all IP traffic on the port is blocked except for DHCP packets that are captured by the DHCP snooping process. When a client receives a valid IP address from the DHCP server, or when a static IP source binding is configured by the user, a per-port and VLAN Access Control List (PACL) is installed on the port. This process restricts the client IP traffic to those source IP addresses configured in the binding; any IP traffic with a source IP address other than that in the IP source binding will be filtered out. This filtering limits a host's ability to attack the network by claiming neighbor host's IP address.
Dhcp两大威胁以及arp欺骗等试验总结
Dhcp两大威胁以及arp欺骗等试验总结 1 伪dhcp server。Dhcp的工作原理大概是首先client广播dhcp discovery消息,本网段的dhcp server回送dhcp offer消息,客户段再发送dhcp request消息,声明自己即将使用的ip地址,server发送ack给client告知client可以使用。防止伪dhcp其实就可以在交换机上启用dhcp snooping功能,凡是不信任的端口(信任端口就是dhcp server使用的端口,需独立配置),都将拒绝从该端口发送dhcp offer消息从而杜绝伪dhcp server。 在cisco交换机上全局启用 ip dhcp snooping,,并使用命令ip dhcp snooping vlan 2,告知在vlan2里使用snooping,这样所有端口都是非信任端口,都将丢弃dhcp offer报文,如果是使用三层交换机提供dhcp服务,就不比单独配置信任端口了。配置信任端口是在物理端口下使用命令 ip dhcp snooping trust. 记住:接入层交换机需支持dhcp snooping功能;信任端口是在物理端口下配置(包括trunk级联端口) 2 DHCP dos攻击。主要就是伪造大量mac地址去像server申请地址,耗费dhcp server地址池,从个人达到拒绝服务攻击的目的。一般用两种方法,但实际操作性都不是太强。第一种办法就是对交换机端口规定一些合法的mac地址池,只有在此范围内的主机才可以通过该端口进行转发。或者限制最大mac地址数。这样客户端就没办法伪造mac地址去申请ip了。Cisco交换机就是在物理端口下使用switchport port-security mac-add命令填加,这种方法工作量大且不能满足移动性的要求。另一种方法就是与实际认证系统相结合,认证系统首先对MAC地址进行第一次认证,只有MAC地址是合法的,才允许DHCP Sever分配IP地址给终端,这主要用到802.1x认证协议和radius认证服务器。 3 有时候为了需要,不希望用户自己设定ip地址来上网,也就是说限制用户只能动态获取地址才能上网,自己固定地址不能上网。这种就相对比较简单,不需要在接入层上做什么设置,也就是不要求接入层支持dhcp snooping功能。只需要在三层交换机上使用如下命令就搞定。 Ip arp inspection vlan 500 //vlan500下面启用arp inspection功能 Ip arp inspection validate src-mac dst-mac ip //只有源mac 目的mac和ip都正确才合法 这里必须还是先在三层交换机上启用ip dhcp snooping功能 同时监控snooping vlan 500。因为arp inspection实际是根据dhcp 绑定信息来判断的。如果用户不是自动获取ip,而是自己设置ip,那么它就不会被dhcp snooping捕获到,当然所有的该ip地址发送的arp请求都会被网关拒绝掉的(因为源,目的mac和ip地址都是不合法的,自然被认为是非法的arp请求)。但是固定ip时是可以跟本局域网内其它机器通信的,只是不能通过arp协议学习到网关的mac地址。 注:以上的dhcp server都是在三层交换机上启用的。 4 arp欺骗。可以分两种情况:一是伪造网关去欺骗网内其它主机;而是伪造其它主机去 欺骗网关。当然更严重的是两种情况同时存在,并开始数据转发功能,这就是一种中间 人攻击(双方欺骗),可以嗅探数据包(代理arp功能跟此类似,很多计费网关和一些透明防火墙就利用了代理arp功能)。从某种意义上说,arp欺骗就是一种代理arp。 神码可提供专门的在接入层交换机使用ACL来限制客户仿冒网关,这个acl就是限制该端口下不允许发送网关地址的arp通告报文,这样可以有效的防止伪造网关去欺骗其它主机。 (Config)# access-list 1101 deny an an untagged-eth2 12 2 0806 20 2 0002 28 4 C0A80001 该ACL说明如下: 13,14字节是arp协议代码0806,21,22字节是0002表示arp reply,29-32字节就是网关ip地址的16进制 STEP2:应用ACL (Config)# Firewall enable (Config)# int e 0/0/1-24 //在所有端口下应用该acl (int)# mac access-group 1101 in traffic-statistic 当然,如果知道某个具体端口是什么IP地址,那么就可以限制该端口只能发送该IP的arp通告是最好了,这就可以完全杜绝arp欺骗。但明显可操作性差。 另一种能较好防止arp欺骗的办法就是在各个主机上绑定网关的mac,同时在网关上静态绑定IP+mac。不过这种办法不如前面办法好,它不能防止局域网内部的arp欺骗。 如果采取的是动态获取ip地址,神码交换机有个新特性,能完全控制arp欺骗。可以防止接入主机假冒网关,可以防止接入主机假冒其它用户;管理复杂度低,交换机配置简单并且基本不需要变更;支持用户移动接入,交换机可以自动检测到用户接入位置并正确转发用户数据; ip dhcp snooping enable ip dhcp snooping binding enable Interface Ethernet0/0/1 ip dhcp snooping binding user-control ! Interface Ethernet0/0/2 ip dhcp snooping binding user-control 如果是静态ip,需要ip+mac+端口的绑定。 am enable Interface Ethernet0/0/1 am port am mac-ip-pool 00-1C-23-06-0D-B9 10.10.1.90 还是说说cisco交换机吧。一般采取动态获取IP地址的上网方式比较多,先配置ip dhcp snooping 再配置ip arp inspection,此时,客户端就应该没办法伪造其它主机去伪造网关,因为这些伪造的arp reply报文在网关看来都是非法的,自然会拒绝。至于伪造网关的防治,大概就只能在用户自己主机上静态绑定arp缓存表了。 1 防止arp扫描。在某些情况下也可抑制arp欺骗。原理就是对物理端口进行arp报文 数量的限制。方法就是在物理端口是使用ip arp inspection limit rate 命令限制每秒钟允许通过的arp报文数。 2 伪mac地址的防治。交换机mac地址表如果被大量充斥,将会影响性能,严重的将会是交换机崩溃,因为一般的cam存储都有限。所以这类防治般限制每端口出来的mac地址数目即可。至于伪造的防治,那就只能选择port-security了,虽然不能满足移动性的要求。 针对目前学校主干是cisco交换机,接入层品牌太杂,档次参差不齐,用户自动从cisco三层交换机上获取地址上网的情况,我认为比较好的办法就是在cisco交换机上启用dhcp snooping 以及arp inspection功能来尽可能防止arp欺骗。用户还得绑定好网关的mac地址。要能更有效的防止arp欺骗和防止伪dhcp server,还得升级接入层交换机
switch security.rar
二层安全: 一、MAC layer attacks 攻击方法: 1、MAC地址flooding攻击 2、MAC地址的欺骗攻击 解决方案: 1、基于源MAC地址允许流量:端口安全 2、基于源MAC地址限制流量:static CAM 3、阻止未知的单/组播帧 4、802.1x基于端口的认证 二、VLAN attacks 解决方案: 1、switch mode access 2、VACL 3、PVLAN 三、spoof attacks 1、DHCP spoof 解决方案:DHCP snooping 2、IP spoof 解决方案:IP 源防护 3、ARP spoof 解决方案:1、静态绑定ARP条目 2、DAI 四、attacks on switch devices 1、关闭不必要的服务,比如CDP 2、限制广播/组播流量 3、为交换机设置登录密码 4、使用SSH实现安全的登录 <端口安全> ·SW端口安全是2层特性,提供3种保护: 1. 可以限定一个接口所能学习的MAC地址数量 2. 可以在一个接口静态绑定MAC地址 1.基于主机MAC来允许流量  ·可定义2个参数:授权的MAC地址/允许学习多少个MAC地址(默认=1)  ·违背端口安全,采取的行为:   1.shutdown:将永久性或特定周期内Err-Disable端口(默认行为),并发送snmp trap   2.restrict:当超过所允许学习的最大MAC数时,将未授权主机的帧丢弃drop,并将violation计数器增加   3.protect :当超过所允许学习的最大MAC数时,将未授权主机的帧丢弃drop Sw1(config-if)#switchport mode access 启用端口安全时,必须先设为access接口 Sw1(config-if)#switchport port-security 启用端口安全(默认只能学一个MAC) Sw1(config-if)#switchport port-security maximum 1 指定最大允许学多少个地址 Sw1(config-if)#switchport port-security mac-address aaaa.bbbb.cccc 静态指定MAC地址(IP_MAC address绑定) Sw1(config-if)#switchport port-security violation [protect|restrict|shutdown]指定行为 Sw1(config-if)#switchport port-security aging time 1 (分钟)设定多长时间后能重新学习MAC地址,也就是设定现有MAC地址的有效期。 Sw1(config-if)#switchport port-security mac-address sticky 将动态学到的地址粘住,永久使用 Sw1#show port-security 可以看到哪些接口应用了端口安全 Sw1#show port-security address 可以看到授权的MAC地址 Sw1#show port-security interface f0/1 可以看到接口的具体状态 Sw1#show interfaces fastEthernet 0/1 FastEthernet0/1 is down, line protocol is down (err-disabled) 通常做接口安全,要先把接口shut down,这样它就不会自动学习 让err-disable接口自动恢复 errdisable recovery cause psecure-violation show errdisable 2.基于主机MAC来限制流量 (3550上才可以做)  列表中定义的MAC将被限制流量 Sw1(config)#mac-address-table static 0010.7b80.7b9b vlan 1 drop 3.阻塞未知单(组)播扩散 (3550上才可以做)  对未知MAC地址,SW将从本VLAN的其他端口转发出去,但对于某些端口(端口安全只需要一个MAC/已到最大MAC)没必要再转发这些单(组)播。就可以在这些端口上设定这一特性,通常结合端口安全来做。 Sw1(config-if)#switchport block [unicast | multicas
WAN综合实验-8.pka
地址分配表 VLAN 配置和端口映射 场景 在这个 CCNA 综合技能练习中,XYZ 公司结合使用 eBGP 和 PPP 实现 WAN 连接。其他技术包括 NAT、DHCP、静态和默认路由、适用于 IPv4 的 EIGRP、VLAN 间路由和 VLAN 配置。安全配置包括 SSH、端口安全、交换机安全和 ACL。 注意:仅 HQ、B1、B1-S2 和 PC 可访问。用户 EXEC 密码为 cisco,特权 EXEC 密码为 class。 要求 PPP · 使用 PPP 封装和 CHAP 身份验证配置从 HQ 到互联网的 WAN 链路。 o 使用密码 cisco 创建用户 ISP。 · 使用 PPP 封装和 PAP 身份验证配置从 HQ 到 NewB 的 WAN 链路。 o 使用密码 cisco 创建用户 NewB。 注意:ppp pap sent-username 不由 Packet Tracer 进行评分。不过,必须在 HQ 和 NewB 之间的链路建立之前配置。 eBGP · 在 HQ 和互联网之间配置 eBGP。 o HQ 属于 AS 65000。 O 互联网云中 BGP 路由器的 IP 地址为 209.165.201.2。 o 向互联网通告 192.0.2.0/24 网络。 NAT · 在 HQ 上配置动态 NAT o 允许使用名为 NAT 的标准访问列表转换 10.0.0.0/8 地址空间的所有地址。 o XYZ 公司拥有 209.165.200.240/29 地址空间。池 HQ 使用掩码为 /29 的地址 .241 至 .245。将 NAT ACL 与池 HQ 绑定。配置 PAT。 o 与互联网和 HQ-DataCenter 的连接位于 XYZ 公司外部。 VLAN 间路由 · 为 B1 配置 VLAN 间路由。 o 使用分支路由器的地址分配表配置并激活用于 VLAN 间路由的 LAN 接口。VLAN 99 为本地 VLAN。 静态路由和默认路由 · 为 HQ 配置通往 NewB LAN 的静态路由。使用送出接口作为参数。 · 为 B1 配置通往 HQ 的默认路由。使用下一跳 IP 地址作为参数。 EIGRP 路由 · 为 HQ 和 B1 配置并优化 EIGRP 路由。 o 使用自主系统 100。 o 在相应接口上禁用 EIGRP 更新。 VLAN 和中继配置 注意:B1-S2 上的记录到控制台功能已关闭,因此本地 VLAN 不匹配消息不会中断配置。如果您想看控制台消息,请输入记录控制台的全局配置命令。 · 在 B1-S2 上配置中继和 VLAN。 o 只在 B1-S2 上创建并命名 VLAN 配置和端口映射表中列出的 VLAN。 o 配置 VLAN 99 接口和默认网关。 o 将 F0/1 到 F0/4 的中继模式设为打开。 o 将 VLAN 分配给适当的接入端口。 o 禁用所有未使用的端口并分配 BlackHole VLAN。 端口安全 · 使用以下策略确保 B1-S2 接入端口的端口安全性: o 允许在端口上获知 2 个 MAC 地址。 o 配置要添加到配置中的已获知的 MAC 地址。 o 将端口设置为在出现安全违规时发送消息。仍然允许来自获知的前两个 MAC 地址的流量。 SSH · 将 HQ 配置为使用 SSH 进行远程访问。 o 将模数设为 2048。域名为 CCNASkills.com。 o 用户名为 admin,密码为 adminonly。 o VTY 线路上应只允许 SSH。 o 修改 SSH 默认值:版本 2;60 秒超时;两次重试。 DHCP · 在 B1 上,按照以下要求为销售 VLAN 20 配置 DHCP 池: o 排除范围内的前 10 个 IP 地址。 o 池名称是 VLAN20,区分大小写。 o 在 DHCP 配置中添加连接到 HQ LAN 的 DNS 服务器。 · 配置销售 PC 以使用 DHCP。 访问列表策略 · 由于 HQ 已连接到互联网,请按以下顺序配置和应用名为 HQINBOUND 的命名 ACL: o 允许从任何源地址到任何目的地址的入站 BGP 更新(TCP 端口 179)。 o 允许从任何源地址到 HQ-DataCenter 网络的入站 HTTP 请求。 o 仅允许来自互联网的已建立的 TCP 会话。 o 仅允许来自互联网的入站 ping 回复。 o 明确阻止来自互联网的所有其他入站访问。 连接 · 验证从每台 PC 到 WWW.pka 和 www.cisco.pka 是否具有完整连接。 · 外部主机应该能够在 WWW.pka 上访问网页。 · 场景 0 中的所有测试均应成功。
Cisco培训教材(中文版)
目 录 序言 前言 第1章 网络互连介绍 1 1.1 认证目标1.01:网络互连模型 1 1.1.1 网络的发展 2 1.1.2 OSI模型 2 1.1.3 封装 3 1.2 认证目标1.02:物理层和数据链路层 4 1.2.1 DIX和802.3 Ethernet 5 1.2.2 802.5令牌环网 7 1.2.3 ANSI FDDI 8 1.2.4 MAC地址 9 1.2.5 接口 9 1.2.6 广域网服务 12 1.3 认证目标1.03:网络层和路径确定 17 1.3.1 第3层地址 17 1.3.2 已选择路由协议和路由选择协议 17 1.3.3 路由选择算法和度 18 1.4 认证目标1.04:传输层 18 1.4.1 可靠性 18 1.4.2 窗口机制 18 1.5 认证目标1.05:上层协议 18 1.6 认证目标1.06:Cisco路由器、交换机 和集线器 18 1.7 认证目标1.07:配置Cisco交换机 和集线器 20 1.8 认证总结 20 1.9 2分钟练习 22 1.10 自我测试 23 第2章 从Cisco IOS软件开始 31 2.1 认证目标 2.01:用户界面 31 2.1.1 用户模式和特权模式 31 2.1.2 命令行界面 32 2.2 认证目标2.02:路由器基础 35 2.2.1 路由器元素 35 2.2.2 路由器模式 35 2.2.3 检路由器状态 37 2.2.4 Cisco发现协议 38 2.2.5 远程访问路由器 39 2.2.6 基本测试 39 2.2.7 调试 40 2.2.8 路由基础 41 2.3 认证目标2.03:初始配置 43 2.3.1 虚拟配置注册表设置 46 2.3.2 启动序列:引导系统命令 47 2.3.3 将配置传送到服务器或从服务器 上复制配置 47 2.4 认证目标2.04:自动安装配置数据 49 2.5 认证总结 49 2.6 2分钟练习 50 2.7 自我测试 51 第3章 IP寻址 58 3.1 认证目标3.01:IP地址类 58 3.1.1 IP地址的结构 58 3.1.2 特殊情况:回路、广播和网 络地址 59 3.1.3 识别地址类 60 3.1.4 子网掩码的重要性 61 3.1.5 二进制和十进制互相转换 62 3.2 认证目标3.02:子网划分和子网掩码 64 3.2.1 子网划分的目的 65 3.2.2 在默认子网掩码中加入位 65 3.3 认证目标3.03:子网规划 66 3.3.1 选择子网掩码 66 3.3.2 主机数目的影响 66 3.3.3 确定每个子网的地址范围 67 3.4 认证目标3.04:复杂子网 68 3.4.1 子网位穿越8位位组边界 68 3.4.2 变长子网掩码 69 3.4.3 超网划分 70 3.5 认证目标 3.05:用Cisco IOS配 置IP地址 71 3.5.1 设置IP地址和参数 71 3.5.2 主机名称到地址的映射 71 3.5.3 使用ping 72 3.5.4 使用IP TRACE和Telnet 73 3.6 认证总结 73 3.7 2分钟练习 74 3.8 自我测试 75 第4章 TCP/IP协议 88 4.1 认证目标 4.01:应用层服务 89 4.2 认证目标 4.02:表示和会话层服务 89 4.2.1 远程过程调用 89 4.2.2 Socket 89 4.2.3 传输层接口 90 4.2.4 NetBIOS 90 4.3 认证目标4.03:协议的详细结构 90 4.3.1 传输层 91 4.3.2 TCP 91 4.3.3 UDP 93 4.4 认证目标4.04:网络层 94 4.4.1 网际协议 94 4.4.2 地址解析协议 95 4.4.3 反向地址解析协议 96 4.4.4 逆向地址解析协议 96 4.4.5 网际控制消息协议 96 4.5 认证目标4.05:操作系统命令 97 4.5.1 UNIX 97
windows网络管理与配置

6,185

社区成员

60,364

社区内容

发帖
与我相关
我的任务
社区描述
windows网络管理与配置
社区管理员
  • 网络管理与配置社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章