1、dhcp snooping :在交换机上只允许DHCP服务器的接口分发的ip地址有效,其他接口认为是无效地址。
2、IPSG ip源防护:在交换机与pc相连接的上联口, ip source check user-bind enable
从该接口的数据检查ip mac vlan,若不符合则丢弃
也可针对某个vlan的所有端口开启
ps:检查的表为dhcp snooping 的表 交换机:dis dhcp snooping user-bind all
开启了源防护后,由于静态ip地址不记录在snooping表项中,因此能限制手动配置的ip访问网络。
被限制后,由于会在接入交换机就被丢弃,连网关都无法访问。
3、由于DHCP snooping 的表项由于是存在内存中,遇到关机则会丢失,应该备份保存。
交换机:dhcp snooping user-bind autosave flash:/xx.tbl snooping表项会保存在该表里。