欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

一、網(wǎng)絡(luò )拓撲

二、說(shuō)明

1、拓撲說(shuō)明：匯聚層交換機為CATALYST4506，核心交換機為CATALYST6506，接入層交換機為CATALYST2918。4506上啟用IP DHCP SNOOPING和DAI以及IPSG，4506上連和下連的端口均配置為T(mén)RUNKING；6506上配置VLAN路由和DHCP服務(wù)器；2918配置基于端口的VLAN。

2、DHCP SNOOPING就像一個(gè)工作在非信任端口（連接主機或網(wǎng)絡(luò )設備）和信任端口（連接DHCP SERVER或者網(wǎng)絡(luò )設備）之間的防火墻，其DHCP SNOOPING BINDING DATABASE中保存著(zhù)非信任端口下所連設備的MAC address, the IP address, the lease time, the binding type, the VLAN number, and the interface information等信息，但不保存信任端口所連設備的信息；在交換機上開(kāi)啟IP DHCP SNOOPING后，接口將工作在二層橋接狀態(tài)，截取和保護通往二層VLAN的DHCP消息；在VLAN上開(kāi)啟IP DHCP SNOOPING后，交換機將工作在同一個(gè)VLAN域內的二層橋接狀態(tài)。

3、思科交換機在全局配置模式下開(kāi)啟IP DHCP SNOOPING后，所有端口默認處于DHCP SNOOPING UNTRUSTED模式下，非信任端口接收到的DHCP OFFER、DHCP ACK、DHCP NAK、DHCP LEASEQUERY報文將被丟棄；信任端口正常接收轉發(fā)，不進(jìn)行監測。

4、交換機在RELOAD或重啟后會(huì )丟失DHCP SNOOPING BINDING數據庫，因此要將此表保存在交換機的FLASH或者保存在一個(gè)TFTP服務(wù)器中，使交換機在RELOAD或重啟后可以從中讀取信息，重新形成DHCP SNOOPING BINDING數據庫。比如下面這條命令：renew ip dhcp snoop data tftp://192.169.200.1/snooping.dat。

5、思科交換機在全局配置模式下開(kāi)啟IP DHCP SNOOPING后，所有的DHCP RELAY INFORMATION OPTION功能全部關(guān)閉。

6、根據思科的英文資料來(lái)看，說(shuō)一個(gè)匯聚層交換機開(kāi)啟DHCP SNOOPING后，當其下連一個(gè)具有嵌入DHCP option-82 information的邊緣交換機，且下連端口為非信任端口時(shí)，匯聚層交換機將丟棄從此端口接收到的具有option-82 information的DHCP報文；但當在匯聚層交換機上開(kāi)啟IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED功能后，此時(shí)下連邊緣交換機的端口雖然仍為非信任端口，但可以正常從此端口接收具有option-82 information的DHCP報文。

根據上面的分析，我理解如下，不知道對不對：思科交換機在全局配置模式下開(kāi)啟IP DHCP SNOOPING后，所有端口默認處于DHCP SNOOPING UNTRUSTED模式下，但DHCP SNOOPING INFORMATION OPTION功能默認是開(kāi)啟的，此時(shí)DHCP報文在到達一個(gè)SNOOPING UNTRUSTED端口時(shí)將被丟棄。因此，必須在4506配置IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED命令（默認關(guān)閉），以允許4506從DHCP SNOOPING UNTRUSTED端口接收帶有OPTION 82的DHCP REQUEST報文。建議在交換機上關(guān)閉DHCP INFORMATION OPTION，即全局配置模式下NO IP DHCP SNOOPING INFORMATION OPTION。

7、對于允許手工配置IP地址等參數的客戶(hù)端，可以手工添加綁定條目到DHCP SNOOPING BINDING數據庫中。ip dhcp snooping binding 00d0.2bd0.d80a vlan 100 222.25.77.100 interface gig1/1 expiry 600表示手工添加一條MAC地址為00d0.2bd0.d80a，IP地址為222.25.77.100，接入端口為GIG1/1，租期時(shí)間為600秒的綁定條目。

8、IPSG即IP SOURCE GUARD是在DHCP SNOOPING功能的基礎上，形成IP SOURCE BINDING表，只作用在二層端口上。啟用IPSG的端口，會(huì )檢查接收到所有IP包，只轉發(fā)與此綁定表的條目相符合的IP包。默認IPSG只以源IP地址為條件過(guò)濾IP包，如果加上以源MAC地址為條件過(guò)濾的話(huà)，必須開(kāi)啟DHCP SNOOPING INFORMAITON OPTION 82功能。

9、DAI即DYNAMIC ARP INSPECTION也是以DHCP SNOOPING BINDING DATABASE為基礎的，也區分為信任和非信任端口，DAI只檢測非信任端口的ARP包，可以截取、記錄和丟棄與SNOOPING BINDING中IP地址到MAC地址映射關(guān)系條目不符的ARP包。如果不使用DHCP SNOOPING，則需要手工配置ARP ACL。

三、配置

1、2918

Switch# configure terminal //全局配置模式

Switch(config)# interface range fa0/1 - 12

Switch(config-if-range)# switchport access vlan 100

Switch(config-if-range)# interface range fa0/13 - 24

Switch(config-if-range)# switchport access vlan 200

Switch(config-if-range)# interface gig0/1 //上連4506的端口

Switch(config-if)# //這里可不做配置，也可手工配置TRUNK

2、4506

Switch# configure terminal

Switch(config)# vtp version 2

Switch(config)# vtp mode client

Switch(config)# vtp domain gzy

Switch(config)# vtp password gzy123

Switch(config)# vlan 100

Switch(config)# vlan 200

Switch(config)# ip dhcp snooping //開(kāi)啟交換機的dhcp snooping功能

Switch(config)# ip dhcp snooping vlan 100,200 //在VLAN100和200中開(kāi)啟dhcp snooping功能

Switch(config)# no ip dhcp snooping information option //禁止在DHCP報文中嵌入和刪除option 82信息

Switch(config)# ip dhcp snooping database tftp://192.168.200.1/snooping.dat

//將dhcp snooping database保存在tftp服務(wù)器（IP地址192.168.200.1）的snooping.dat文件中

Switch(config)# ip arp inspection vlan 100,200 //在VLAN100和200中開(kāi)啟DAI功能

Switch(config)# ip arp inspection validate src-mac ip //以源MAC和IP檢測ARP包是否合法

Switch(config)# interface gig1/1 //上連6506的端口

Switch(config-if)# switchport trunk encapsulation dot1q

Switch(config-if)# switchport mode trunk

Switch(config-if)# ip dhcp snooping trust

Switch(config-if)# ip arp inspection trust

Switch(config-if)# interface gig2/2 //下連2918的端口

Switch(config-if)# switchport trunk encapsulation dot1q

Switch(config-if)# switchport mode trunk

Switch(config-if)# ip arp inspection limit none

Switch(config-if)# ip verify source vlan dhcp-snooping

Switch(config-if)# end

Switch(config)# copy run start

四、備注

寫(xiě)到后面越來(lái)越懶了，基本上就是這樣了。6506上的配置不寫(xiě)了，很簡(jiǎn)單。因為2918不支持上述功能，因此只能在4506上做，但這樣就只能在4506下連2918的端口上來(lái)啟用這些功能，在2918上發(fā)生的欺騙就無(wú)法防止了。沒(méi)辦法，思科的做法很奇怪?，F在很多國內廠(chǎng)家的接入層交換機都可以實(shí)現這些功能，比如Quidway、H3C、神洲數碼、銳捷等。由于水平有限，寫(xiě)的不對的地方請高手指正。