IP安全讲解(DHCP Snooping、IPSG、DAI)
目录
DHCP Snooping
与DHCP Snooping联动技术
IP源防攻击技术(IPSG)
动态ARP检测技术(DAI)
配置DHCP Snooping
DHCP Snooping
DHCP Snooping时DHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击
通过配置信任端口和非信任端口来实现安全防护
信任接口
正常接收DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文
设备只会将DHCP客户端的DHCP请求报文通过信任接口发送给合法的DHCP服务器。
非信任接口
在接收到DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文后,丢弃该报文
DHCP Snooping绑定表
设备根据收到的DHCP ACK报文,建立DHCP Snooping绑定表
此表包含客户端的IP地址、客户端的MAC地址、客户端的Vlan、客户端所在接口等信息
DHCP Snooping绑定表可以根据DHCP租期自行老化,也可以根据DHCP Release报文删除对应表项
注意事项
在DHCP中继使能DHCP Snooping场景下,DHCP Relay设备不需要设置信任端口
因为DHCP Relay设备是以单播的形式向DHCP服务器请求IP地址的,所以Relay设备收到的ACK报文都是合法的
与DHCP Snooping联动技术
IP源防攻击技术(IPSG)
IPSG是一种基于二层接口的源IP地址过滤技术,通过绑定表能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机来获取响应的权限
实现方式(IPSG一般应用于于用户直连的接入设备上)
1、配置静态绑定表,手动配置IP地址、MAC地址、Vlan等信息绑定
2、通过DHCP Snooping生成的动态绑定表来防止IP源攻击
IPSG工作原理(信任端口为dhcp snooping配置的信任端口)
IPSG会检查报文的源IP地址、源MAC地址、Vlan、接口是否和绑定表一致(收到的报文是否进行IPSG检查主要有以下三种情况)
接口使能IPSG,并且为非信任接口,则从此接口收到的报文进行IPSG检查
接口未使能IPSG,并且为非信任接口,则从接口收到的报文不进行IPSG检查
接口未信任接口,无论是否使能IPSG,都不进行IPSG检查
注意事项
IPSG只检查主机发送的IP报文,对于arp、pppoe等非ip报文不进行检查
配置静态IPSG功能(可以不配置dhcp snooping,不配置信任接口)
user-bind static 【ip-address】 【mac-address】 【vlan】 配置静态绑定表
ip source check user-bind enable 开启IPSG检查
此时没有dhcp snooping生成的动态绑定表,因此通过静态绑定表来进行ipsg检查
配置动态IPSG功能(利用绑定表防御源IP欺骗攻击,需要配置信任接口)
先配置DHCP Snooping,然后再配置IPSG
ip source check user-bind enable 开启IPSG检查
ip source check user-bind check-item ip-address mac-address 配置IPSG只检查报文的IP地址和MAC地址
动态ARP检测技术(DAI)
DAI通过绑定表来防止arp欺骗,主要用于防御中间人攻击的场景,避免设备上合法用户的arp表项被攻击者发送的伪造arp报文错误更新
绑定表类型(一般在主机侧开启DAI)
1、配置静态绑定表,手动配置IP地址、MAC地址、Vlan等信息绑定(一般对于静态配置IP地址的用户单独配置静态绑定表,作为动态绑定表的补充)
2、通过DHCP Snooping生成的动态绑定表来防止arp攻击
DAI工作原理
如果设备为非信任接口,才进行DAI检查
设备收到arp报文时,将arp报文对应的源IP地址、源MAC地址、接口、Vlan等信息和绑定表的信息进行对比(如果信息匹配,则允许arp报文通过;如果信息不匹配,则丢弃该arp报文)
配置动态ARP检测技术(必须配置dhcp snooping)
配置DHCP Snooping
user-bind static 【ip-address】 【mac-address】 【vlan】 配置静态绑定表
接口下:arp anti-attack check user-bind enable 使能DAI
注意事项
DAI只可以适用于dhcp snooping场景
DAI的配置静态绑定表是作为动态绑定表的补充,配置静态绑定表也必须开启dhcp snooping
IPSG配置静态绑定表时可以不用配置dhcp snooping
配置DHCP Snooping
正常配置DHCP服务器1,通过全局地址池的方式分配地址
PC1属于Vlan1(即LSW1上不需要做Vlan相关配置)
必选配置
开启DHCP(开启DHCP后才可以配置DHCP Snooping)
dhcp enable
开启IPv4的DHCP Snooping
dhcp snooping enable ipv4
接口开启DHCP Snooping并配置信任端口
interface Ethernet0/0/1 与服务器相连端口
dhcp snooping enable 开启DHCP Snooping
dhcp snooping trusted 配置端口为信任端口
interface Ethernet0/0/2 与客户端相连端口
dhcp snooping enable
可选配置
配置当用户下线后删除本地绑定表
dhcp snooping user-offline remove mac-address
配置ARP与DHCP Snooping联动
arp dhcp-snooping-detect enable
在Vlan1内配置DHCP Request检查(防止攻击者仿冒用户的DHCP Request报文)
dhcp snooping check dhcp-request enable vlan 1
查看DHCP Snooping绑定表
IP安全讲解(DHCP Snooping、IPSG、DAI)相关推荐
- DHCP snooping + IPSG准入机制
文章目录 1 DHCP snooping 2 IPSG(IP Source Guard) 2.1 配置基于VLAN的IP Source Guard 2.2 配置基于接口的IP Source Guard ...
- dhcp snooping+IPSG的一些理解
dhcp snooping是一种dhcp安全特性,能够过滤来自网络中主机或其他设备的非信任dhcp报文,通过建立并维护dhcp binding表. DHCP snooping 建立DHCP bindi ...
- DHCP Snooping IPSG
祸兮福所倚,福兮祸所伏. 文章目录 一.DHCP 二.拓扑 三.基础配置 四.策略配置 五.DHCP中继 六.DHCP Snooping 一.DHCP Dynamic Host Configurati ...
- 有关思科dhcp snooping的测试总结
DHCP snooping作为DAI和IP Sourceguard特性的基础组件,做好配置显得尤为重要. 下面总结一下此特性及部署注意事项: 1. 开启dhcp snooping的交换机,默认都会给所 ...
- DHCP snooping 原理和工作工程:
1.信任功能: 作用:DHCP snooping的信任功能,就是为了让用户从合法的DHCP 服务器上获取到IP地址. DHCP Snooping 信任功能允许将端口分为信任端口和非信任端口:信任端口正 ...
- dhcp snooping华为_华为防火墙配置DHCP Snooping保护DHCP服务器
该楼层疑似违规已被系统折叠 隐藏此楼查看此楼 DHCP Snooping是一种DHCP安全特性,通过MAC地址限制.DHCP Snooping安全绑定.IP + MAC绑定.Option82特性等功能 ...
- 华为 DHCP、DHCP中继、DHCP snooping
哈喽,大家好!我是艺博东 ,是一个思科出身专注于华为的网工:好了,话不多说,我们直接进入正题. 文章目录 一.DHCP 拓扑 二.DHCP 基础配置 三.DHCP 测试 四.DHCP 分析 五.DHC ...
- DHCP snooping
DHCP snooping基本功能简介: DHCP snooping是DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)的一种安全特性,主要具有如下两 ...
- DAI、DHCP SNOOPING、ip source guard、IPSG
switch 3560上做安全: 模型:R1 and R2 (dhcp client )-->SW 3560-->R3(dhcp server)所有设备在同一个VLAN. R1 and ...
最新文章
- 大数据导论之为何需要引入大数据
- 测试服务器最大链接数_LoaRunner性能测试系统学习教程:probe监控(3)
- 有关于JAVA与后端C应用UTF8字符的通信
- 详解C调用lua脚本效率测试
- MassTransit中RequestResponse基本使用
- php函数(检查变量、函数、键是否存在)
- python数据参数_零基础学习python数据分析——函数的参数
- 第十一节课 课堂总结
- 阅文新霸王合同导致810万写手心态崩了?阅文集团回应:不可能推全部免费阅读...
- 使用Excel公式,获取 全路径中 的 文件名
- 自学python买什么教材-从自学到编写大学python教材——低调quot;虫师”谢乾坤
- bootloader总体操作设计
- 转]python 结巴分词(jieba)学习
- git tag标签操作
- 山东大学操作系统课设
- 计算机病毒黑色星期五制造者,计算机病毒复习资料
- apple script to 1s screen capture snapshot w/ windowsill
- 旅美见闻:美国贫民百姓众生相
- 如何提高自身代码能力
- 基于工业4g网关的危化品运输车监控方案
热门文章
- Openshift中Pod的SpringBoot2健康检查
- 论四核“冲动”的背后
- FFmpeg源代码简单分析 日志输出系统(av log 等)
- 51单片机学习笔记——蜂鸣器
- 大学计算机基础ppt操作题都考什么,大学计算机基础操作题.ppt
- 界面组件Telerik UI for WPF全新的Windows 11主题,一起来探索
- 关于CAD字体打开乱码,字体自动替换LSP,默认simplex,hztxt
- 笔记本外接显示器如何调亮度
- RGB颜色表(按需求分类),例如:柔和的、明亮的、温和的
- UBOOT NVME驱动(一路io队列和一路admin队列的例程分析)(未完成)