十三簡單方法限制內(nèi)網(wǎng)用戶私設(shè)ip網(wǎng)工必備

1、技術(shù)博客 http:/技術(shù)博客 http:/件郵訂件訂閱閱/1914756383/1914756383/KKUUCCqqXX22簡單方法限制內(nèi)網(wǎng)用戶私設(shè) IP1 廢話部分對于小型局域網(wǎng)的管理者而言，IP 地址的管理的確是件比較頭痛的事情。本來好不容易把網(wǎng)絡(luò)規(guī)劃好，結(jié)果終端用戶私自更改IP 地址，導致很多問題出現(xiàn)。最典型的就是導致 ACL 失效和 IP 地址，當然，不同的網(wǎng)絡(luò)環(huán)境會有不同的影響。既然私設(shè) IP 會帶來這么多麻煩，那么作為網(wǎng)絡(luò)管理者，有沒有辦法限制用戶私設(shè) IP 呢？是肯定的，方法也有很多種。我們今天一種最方便、廉價和簡單的方式。這個方式嚴格來說算不上限制用戶私設(shè) IP，而是用戶一

2、旦私自更改 IP 后，就無法上網(wǎng)。這時用戶自然要找網(wǎng)絡(luò)管理員，那么后面不用我說了吧，嘿嘿！技術(shù)說明技術(shù)介紹Sorry，還是一如既往的啰嗦，大家見諒，切入正題吧。今天用的方法叫作 ARP。要注意的是，這個功能單獨使用無效，它需要和DHCP Server 一起配合使用，否則會造成所有主機都不能上網(wǎng)。命 htthpt:t/p/:c/店技術(shù)博客 http:/技術(shù)博客 http:/件郵訂件訂閱閱/1914756383/1914756383/KKUUCCqqXX222.2 原理說明當某個接口啟用了 ARP，那么這個接口將關(guān)閉 ARP 動態(tài)學習功能，也就是它不會再發(fā)送 ARP REQUEST 包去查詢別人的

3、 MAC 地址，所以也不能動態(tài)形成 ARP 表項。知道，數(shù)據(jù)幀在封裝時，如果在 ARP 表里找不到目的地的 MAC 地址，那么會導致封裝失敗，這個幀是無法發(fā)出去的，也就是說不能和對方通信。那么問題來了，如果網(wǎng)關(guān)路由器開啟了 ARP后不能動態(tài)學習ARP 條目，不是會造成所有終端無法正常和網(wǎng)關(guān)正常通信了嗎？難不成在網(wǎng)關(guān)上一條條手工添加？當然不是這樣，要不然今天的話題就沒有意義了。前面說了，ARP是需要搭配 DHCP Server 來使用的，也說是說在開啟ARE的路由器上還要配置 DHCP 服務(wù)器，而且終端需要動態(tài)獲取 IP 地址。相信大家都知道 DHCP 的原理，DHCP Cnt 廣播 Disco

4、ver 包時，會提供自己的MAC 地址給 DHCP Server，而 Server 單播回Offer 時，會帶上需要分配給 Cnt 的各種信息，比如下發(fā)的IP 地址、網(wǎng)關(guān)、DNS 或者其它的一些 Options，那么也就是說 DHCP服務(wù)器是肯定知道每個Cnt 的MAC 地址，也知道為哪個 MAC 地址分配了哪個 IP 地址的。有了 DHCP 后，事情就簡單了。只需要在 DHCP 服務(wù)器進程為客戶端下發(fā)地址時，把客戶端的 MAC 地址和將要下發(fā)給客戶端的IP 地址告訴給開啟ARP的接口，接口再把 IP 和MAC 的對應(yīng)情況關(guān)聯(lián)到自己的 ARP 表中，就可以保證該接口可以和這些 DHCP Cnt

5、命htthpt:t/p/:c/店技術(shù)博客 http:/技術(shù)博客 http:/件郵訂件訂閱閱/1914756383/1914756383/KKUUCCqqXX22通信了，而手工設(shè)置 IP 地址的終端由于沒有經(jīng)過 DHCP 服務(wù)器進程處理，接口得不到其 IP 與MAC 的對應(yīng)關(guān)系，所以路由器接口不能生成相應(yīng)的 ARP 表項，無法與之通信。手工設(shè)置了 IP 的終端不能與路由器通信，所以也不能上網(wǎng)，但是可以與同網(wǎng)段的終端互相。（如果要進行更嚴格的限制，比如如果私設(shè) IP 則同網(wǎng)段通信也限制，那么還需要使用 DAI 或IP SOURCE INSPECT，這些功能需要交換機的一些高級特性支持，如 DHCP

6、 Snoo，超出本文內(nèi)容了。）實驗操作實驗說明看完了上面的廢話，知道要實現(xiàn)ARP，需要在網(wǎng)關(guān)路由器上做以下工作：1、開啟 DHCP 服務(wù)；2、修改 DHCP 服務(wù)，讓它可以將客戶端 IP 與 MAC 的對應(yīng)情況通知給 ARP接口；3、接口開啟ARP。開始動手吧，下面是本次實驗的拓撲（如果看不清圖，請放大文檔）：命 htthpt:t/p/:c/店技術(shù)博客 http:/技術(shù)博客 http:/件郵訂件訂閱閱/1914756383/1914756383/KKUUCCqqXX22模擬PCSiR2F0/0ARP在內(nèi)網(wǎng)NAT網(wǎng)關(guān)DHCP服務(wù)器模擬互聯(lián)網(wǎng)互聯(lián)網(wǎng)出口/24這里開啟提供響應(yīng)某辦公局域網(wǎng)/24SiS

7、iF0/0 F0/0 R1R4模擬PCSiR3F0/0拓撲應(yīng)該很簡明，所以我就不再啰嗦了，要不然大家看下去的欲望都沒了，呵呵！有一點需明的是某些IOS 是不支持ARE的，不過只要是有安全特性的 IOS，都是可以支持的，這是IOS 版本：實驗分三步：1、配置基本環(huán)境（IP 地址、NAT、基本的 DHCP），保證內(nèi)網(wǎng)能互聯(lián)網(wǎng)；2、配置并驗證 ARP；3、優(yōu)化 ARP。3.2 第一步：配置基本環(huán)境基本配置都很簡單，我就不作說明了，如果不懂，趕緊看NA。R1:R1en R1#conf t R1(config)#f0/0R1(config-if)#ip add R1(config-if)#no sh命h

8、tthpt:t/p/:c/店技術(shù)博客 http:/技術(shù)博客 http:/件郵訂件訂閱閱/1914756383/1914756383/KKUUCCqqXX22R1(config-if)#ip nat insR1(config-if)#f0/1R1(config-if)#ip add R1(config-if)#ip nat out R1(config-if)#no shR1(config-if)#ip route R1(config)#ip acs-list ex natR1(config-ext-nacl)#per ip 55 anyR1(config-ext-nacl)#exitR1(con

9、fig)#ip nat ins sou list natR1(config)#ip dhcp pool testf0/1 overR1(dhcp-config)#network /24R1(dhcp-config)#default-router R1(dhcp-config)#exitR1(config)#ip dhcp ex R2:R2en R2#conf t R2(config)#f0/0R2(config-if)#no shR2(config-if)#ip add dhcpR3:R3en R3#conf t R3(config)#f0/0R3(config-if)#no shR3(con

10、fig-if)#ip add dhcpR4:R4enR4#conf t R4(config)#f0/0R4(config-if)#ip add R4(config-if)#lo0R4(config-if)#ip add 55基本配置完畢，測試一下連通性在 R1 上檢查接口狀態(tài)，并，正常：命 htthpt:t/p/:c/店技術(shù)博客 http:/技術(shù)博客 http:/件郵訂件訂閱閱/1914756383/1914756383/KKUUCCqqXX22在 R2 上檢查接口狀態(tài)，并，正常：在 R3 上檢查接口狀態(tài)，并，正常：命htthpt:t/p/:c/店技術(shù)博客 http:/技術(shù)博客 http:/件

11、郵訂件訂閱閱/1914756383/1914756383/KKUUCCqqXX22R2 和R3 有出現(xiàn)丟包有兩個原因，一是因為向網(wǎng)關(guān)發(fā)起 ARP 時有延時，第一個包一般都會丟，二是由于用 GNS3 作為模擬器時，如果用的是較新版本、功能較多的的 IOS，在生成 NAT 條目時速度過慢導致丟包。另外那條默認路由并非手工設(shè)置，而是 DHCP 下發(fā)的默認網(wǎng)關(guān)，路由器自動生成。然后手工設(shè)置一下 R2 和 R3 的 IP 地址，模擬用戶私設(shè) IP，再測試一下：R2：R3：命 htthpt:t/p/:c/店技術(shù)博客 http:/技術(shù)博客 http:/件郵訂件訂閱閱/1914756383/191475638

12、3/KKUUCCqqXX22從上圖中可以看到 R2、R3 在接口配置了靜態(tài) IP 地址后，原來的默認路由也沒有了，這充分說明了之前的默認路由是由 DHCP 下發(fā)的，雖然在路由表中是“S”標記。因此需要手工設(shè)置默認路由，將其指向 R1。配置完畢后測試連通性，發(fā)現(xiàn)網(wǎng)絡(luò)依然暢通。這說明在沒有配置 ARP時，用戶是可以不受控地私自設(shè)置 IP 地址的。3.3 第二步：網(wǎng)關(guān)上設(shè)置ARP配置很簡單，在網(wǎng)關(guān)路由器 R1 上執(zhí)行兩個步驟：修改 DHCP 和接口開啟ARP。R1：R1#conf tR1(config)#ip dhcp pool test R1(dhcp-config)#update arp/修改

13、DHCP，使其將 IP-MAC 信息提交給接口R1(dhcp-config)#f0/0/接口開啟 ARPR1(config-if)#arp authorized配置完成后，再在 R2 和 R3 上測試一下，發(fā)現(xiàn)已經(jīng)不能通 了，甚至網(wǎng)關(guān)都無法通了，因為兩臺 PC 的 IP 地址是手工設(shè)置的，DHCP 服務(wù)器沒有它們的 IP-MAC 信息，所以接口也無法形成ARP 條目。R2:命htthpt:t/p/:c/店技術(shù)博客 http:/技術(shù)博客 http:/件郵訂件訂閱閱/1914756383/1914756383/KKUUCCqqXX22R3:在 R1 上查看 ARP 表，發(fā)現(xiàn)沒有為兩臺主機（02，0

14、3）產(chǎn)生 ARP 條目。接下來把兩臺 PC 的接口地址改成 DHCP 獲取，等到出現(xiàn)獲取到地址的日志后再測試，發(fā)現(xiàn)已經(jīng)通了。R2：R3：命 htthpt:t/p/:c/店技術(shù)博客 http:/技術(shù)博客 http:/件郵訂件訂閱閱/1914756383/1914756383/KKUUCCqqXX22從上面的日志可以看到R2 獲取到的地址是 ，R3獲取到的是 。再到R1 上看ARP 表，發(fā)現(xiàn)已經(jīng)有了這兩個PC 的相應(yīng)條目。R1:3.4 第三步：優(yōu)化DHCP 的租期是以天計的，默認為 1 天，而 ARP 條目的老化時間因系統(tǒng)不同而不同，思科的路由器默認 ARP 老化時間是 4 小時，可以通過 sho

15、w看到。由于這兩者的時間差異，帶來了一個問題，即當 ARP 條目老化后，IP 地址還沒有到期。也就是說假設(shè)某條 ARP 條目由于到期所以被清除了，由于 DHCP 的租期還沒有到，這時終端不會發(fā)起新的 DHCP 請求，那么 DHCP 服務(wù)器進程也不會觸發(fā)一個新的 IP-MAC 對應(yīng)條目給 ARP接口，這時這臺悲催的主機就只能自娛自樂了?？梢宰鰝€實驗證明這一點，把 ARP 超時間隔調(diào)到 30 秒，然后在 PC 上對 進行長，看看 30 秒后是不是不通了。R1 上配置 ARP 超時：R1#conf tR1(config)#f0/0/設(shè)置接口的 ARP 超時時間，為秒R1(config-if)#arp

16、 timeout 30R2 上長，發(fā)現(xiàn) 30 秒后網(wǎng)絡(luò)不通了：命htthpt:t/p/:c/店技術(shù)博客 http:/技術(shù)博客 http:/件郵訂件訂閱閱/1914756383/1914756383/KKUUCCqqXX22為了解決這個問題，可以把 DHCP 的租期調(diào)到 4 個小時，可是思科的DHCP 租期是以天計算，所以此路不通。如果把 ARP 的超時時間改成和 DHCP 的租期一樣，那自然是可以的，不過這樣也不太好，因為如果網(wǎng)絡(luò)中有很多臨時終端，那么會占用大量的 ARP 緩存，而且要很長時間才能老化，既然是優(yōu)化網(wǎng)絡(luò)，這當然是絕對不能原諒的，所以跟我來吧，嘿嘿！R1:R1#conf t R1(config)#f0/0R1(config-if)#arp timeout 30R1(config-if)#arp probeerval 10 count 3命令解釋：第 1、2 行不解釋 ；第 3 行前面已經(jīng)介紹，別忘了為秒；第 4 行這個命令是設(shè)置讓接口每隔 10 秒就向ARP 表中的主機發(fā)送一個 arp 查詢，看看它是否有響應(yīng)，如果有響應(yīng)，證明該終端還在網(wǎng)絡(luò)中，如果 3 次查詢都沒有響應(yīng)，證明該主機已經(jīng)不在網(wǎng)絡(luò)中了，可以將相關(guān)的ARP 條目刪除了。注意做完后需要讓P