29E DHCP+WEB认证环境,部署防手工私设地址方案不生效
客户环境:
下联电脑动态获取IP地址,S29作为接入交换机,开启:ip verify source port-security 和 arp-check 、dhcp snooping、web认证这几个功能。
客户故障分析:
客户使用的web认证,认证报文优先级最高,会直接放通,WEB认证成功后,会下发该用户的IP+MAC绑定的硬件表项,该表项与SOURCE GUARD的表项优先级相同,只要用户的IP和MAC地址匹配其中任何一个表项,就允许上网,所以导致用户可以手工私设地址进行上网(因为运行静态IP地址web认证成功)。
建议规避方案:
建议客户去掉source-guard功能,采用DAI来进行规避,实现即防私设IP地址也能防ARP欺骗。因为DAI未下发硬件表象,采用的是CPU处理,这样数据报文过来,要匹配两次,先匹配WEB,再匹配DAI,两者有一个不满足就丢弃。