每一台电脑终端能够上网的前置条件就是,必须给其分配一个IP地址,在没有网管的企业,可能会有多个员工抢一个IP地址,这就会导致IP地址冲突,就像大楼发生火灾的时候,一堆人同时挤向一个唯一的出口,谁也出不去。
为了减少IP地址冲突的机会,网络管理员抛弃手动分配IP地址的方式,而是采用DHCP方式分配IP地址,这样就可以大大减少了IP地址冲突的机会。
<HW-HeXin-1>system-view
1创建一个地址池
[HW-HeXin-1]ip pool dhcp-vlan10//全局地址池配置。
2配置全局地址池可动态分配的IP地址范围
[HW-HeXin-1-ip-pool-dhcp-vlan10]network 192.168.10.0 mask 255.255.255.0
3配置DHCP客户端的网关地址
[HW-HeXin-1-ip-pool-dhcp-vlan10]gateway-list 192.168.10.254
4配置DHCP客户端使用的DNS服务器的IP地址
[HW-HeXin-1-ip-pool-dhcp-vlan10]dns-list 8.8.8.8 114.114.114.114设置首选和备用DNS
5配置IP地址租期
[HW-HeXin-1-ip-pool-dhcp-vlan10]lease day 1 ;设置租期,实际配置要合理设置租期,增大IP地址利用率;
6、配置不分配的IP地址
[HW-HeXin-1-ip-pool-dhcp-vlan10]excluded-ip-address 192.168.10.220 192.168.10.253 //配置接口地址池中不参与自动分配的IP地址范围,一般将网关地址和企业领导设备的地址在DHCP地址范围内排除;
[Huawei-ip-pool-dhcp-all]static-bind ip-address 192.168.2.10 mac-address 0001-1111-2222 ;为固定mac分配固定ip
[Huawei-ip-pool-dhcp-all]q
7开启DHCP功能
[HW-HeXin-1]dhcp enable//开启DHCP服务
[HW-HeXin-1]interface Vlanif 10
[HW-HeXin-1-Vlanif10]dhcp select global
虽然有了自动分配IP地址,有的时候员工私自更改IP地址,这个时候就可以使用ARP地址绑定,将电脑终端的MAC地址与IP进行绑定,ARP绑定就像给电脑终端发一个电子门禁卡,将电脑终端的MAC地址与IP地址牢牢绑定在一起。这样,即使有人试图更改IP地址,也会因为MAC地址的限制而无法成功。
在交换机上配置静态ARP表项
[Switch] arp static 10.164.1.1 00e0-fc01-0001 vid 10 interface gigabitethernet 0/0/1
[Switch] arp static 10.164.10.1 00e0-fc02-1234 vid 40 interface gigabitethernet 0/0/2
ARP实现原理
静态ARP表项不会被老化,不会被动态ARP表项覆盖。用户可以通过arp static命令手工配置,也可以通过ARP自动扫描和固化的方式批量配置。
对于以下场景,用户可以配置静态ARP表项。
1对于网络中的重要设备,如服务器等,可以在交换机上配置静态ARP表项。这样可以避免交换机上重要设备IP地址对应的ARP表项被ARP攻击报文错误更新,从而保证用户与重要设备之间正常通信。
2当希望禁止某个IP地址访问设备时,可以在交换机上配置静态ARP表项,将该IP地址与一个不存在的MAC地址进行绑定。
总的来说,IP地址的管理是维护网络安全的重要一环。DHCP和ARP绑定就像是一对默契的拍档,共同守护着我们的网络世界。
好了,今天的分享就到这里啦!如果你还有其他问题或想法,欢迎在评论区留言哦!