NP2011-SW-23-DHCP Snooping_DAI_IP源保护

随笔3个月前发布 忘痴人
30 0 0

dhcp 欺骗

dhcp snooping

原理:

一启用后,可以将交换机的端口分为trusted接口和untrusted接口,默认在交换机上启用后,所有接口变为untrusted接口,需要手工设置trunsted接口。对于untrusted接口,只能收到dhcp请求消息,drop掉dhcp的相应消息,并且也不会向这个接口发送出dhcp的请求消息。对于trusted接口没有任何限制。

dhcp监听会在交换机上建立dhcp碧昂定标,其中包括客户端的ip地址,mac地址,端口号,vlan编号,租用和绑定类型信息。

配置

ip dhcp snooping

ip dhcp snooping informatcion option(产生信息选项,默认开启)

ip dhcp snooping vlan 10,20

int f0/1

description access port

ip dhcp limit rate 50

int f0/24

description uplink

swichport mode trunk

swichport trunk allowed vlan 10,20

ip dhcp snooping trust

第一步:

ip dhcp snooping 必须先开启这命令,相当于总开关

ip dhcp snooping vlan 1再制定vlan,这一步也必须要

第二步:制定一个接口为trusted接口

ip dhcp snooping trust

第三步:还要在被信息的dchp服务器上打上下列命令:(如果是用路由器做服务器的话)

ip dchp relay informationn trust-all(在路由器上敲)

show ip dhcp snooping

show ip dhcp snooping bingding

arp攻击a

dai动态arp监控

是一种能够验证网络中arp数据包的安全特性,可以防止中间人攻击

通常需要和dhcp的snooping结合使用,也可静态写ip和mac的绑定表

原理:启用dai后,将接口分为trusted和untrusted.对于untrusted接口,要进行arp检查。

ip arp inspection vlan 1

ip arp inspection trust指定arp检测的trust接口,一定要做

ip arp inspection limit rate 100 限制每秒所接受的arp包个数

show iparp in spection interfaces

show ip arp inspection vlan 1

配置命令:

ip dhcp snooping

ip dhcp snooping vlan 10,20

int f0/1

ip dhcp limit rate 50

int f0/24

description uplink

swichport mode trunk

swichport trunk allowed vlan 10,20

ip dhcp snooping trust

ip arp inspection trust

ip souece guard ip源保护

源保护特修行可防止非法设备盗用合法设备的ip接入网络,只能用于二层端口

需要用到ip绑定表,有两种方式获得绑定条目

1、静态绑定Ip源地址

2、使用dhcp snooping技术中动态生成的源ip绑定表

规则:一旦在一个接口启用了源保护,这个接口默认拒绝所有ip,除非在ip绑定表中有对这个接口对应的绑定条目。

除了dhcp请求包

ip source binging aaaa.bbbb.cccc vlan 1 100.1.1.1 interface f0/1静态绑定

ip dhcp snooping

ip dhcp snooping vlan 1

int f0/10

ip verify source 开启源保护,只给予ip进行检查,在3560和3750上这样配。

ip verify source port-security 开启源保护,基于ip和mac进行检查3560

ip verify source vlan dhcp-snooping port-security 好像4500以上才这样开启

show ip verity source 查看所允许的ip地址

show ip source bingding

© 版权声明

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...