目录

DHCP Snooping

与DHCP Snooping联动技术

IP源防攻击技术(IPSG)

动态ARP检测技术(DAI)

配置DHCP Snooping

DHCP Snooping

DHCP Snooping时DHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击

通过配置信任端口和非信任端口来实现安全防护

信任接口

正常接收DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文

设备只会将DHCP客户端的DHCP请求报文通过信任接口发送给合法的DHCP服务器。

非信任接口

在接收到DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文后,丢弃该报文

DHCP Snooping绑定表

设备根据收到的DHCP ACK报文,建立DHCP Snooping绑定表

此表包含客户端的IP地址、客户端的MAC地址、客户端的Vlan、客户端所在接口等信息

DHCP Snooping绑定表可以根据DHCP租期自行老化,也可以根据DHCP Release报文删除对应表项

注意事项

在DHCP中继使能DHCP Snooping场景下,DHCP Relay设备不需要设置信任端口

因为DHCP Relay设备是以单播的形式向DHCP服务器请求IP地址的,所以Relay设备收到的ACK报文都是合法的

与DHCP Snooping联动技术

IP源防攻击技术(IPSG)

IPSG是一种基于二层接口的源IP地址过滤技术,通过绑定表能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机来获取响应的权限

实现方式(IPSG一般应用于于用户直连的接入设备上)

1、配置静态绑定表,手动配置IP地址、MAC地址、Vlan等信息绑定

2、通过DHCP Snooping生成的动态绑定表来防止IP源攻击

IPSG工作原理(信任端口为dhcp snooping配置的信任端口)

IPSG会检查报文的源IP地址、源MAC地址、Vlan、接口是否和绑定表一致(收到的报文是否进行IPSG检查主要有以下三种情况)

接口使能IPSG,并且为非信任接口,则从此接口收到的报文进行IPSG检查

接口未使能IPSG,并且为非信任接口,则从接口收到的报文不进行IPSG检查

接口未信任接口,无论是否使能IPSG,都不进行IPSG检查

注意事项

IPSG只检查主机发送的IP报文,对于arp、pppoe等非ip报文不进行检查

配置静态IPSG功能(可以不配置dhcp snooping,不配置信任接口)

user-bind static 【ip-address】 【mac-address】 【vlan】   配置静态绑定表

ip source check user-bind enable                                           开启IPSG检查

此时没有dhcp snooping生成的动态绑定表,因此通过静态绑定表来进行ipsg检查

配置动态IPSG功能(利用绑定表防御源IP欺骗攻击,需要配置信任接口)

先配置DHCP Snooping,然后再配置IPSG

ip source check user-bind enable        开启IPSG检查

ip source check user-bind check-item ip-address mac-address        配置IPSG只检查报文的IP地址和MAC地址

动态ARP检测技术(DAI)

DAI通过绑定表来防止arp欺骗,主要用于防御中间人攻击的场景,避免设备上合法用户的arp表项被攻击者发送的伪造arp报文错误更新

绑定表类型(一般在主机侧开启DAI)

1、配置静态绑定表,手动配置IP地址、MAC地址、Vlan等信息绑定(一般对于静态配置IP地址的用户单独配置静态绑定表,作为动态绑定表的补充)

2、通过DHCP Snooping生成的动态绑定表来防止arp攻击

DAI工作原理

如果设备为非信任接口,才进行DAI检查

设备收到arp报文时,将arp报文对应的源IP地址、源MAC地址、接口、Vlan等信息和绑定表的信息进行对比(如果信息匹配,则允许arp报文通过;如果信息不匹配,则丢弃该arp报文)

配置动态ARP检测技术(必须配置dhcp snooping)

配置DHCP Snooping

user-bind static 【ip-address】 【mac-address】 【vlan】  配置静态绑定表

接口下:arp anti-attack check user-bind enable        使能DAI

注意事项

DAI只可以适用于dhcp snooping场景

DAI的配置静态绑定表是作为动态绑定表的补充,配置静态绑定表也必须开启dhcp snooping

IPSG配置静态绑定表时可以不用配置dhcp snooping

配置DHCP Snooping

正常配置DHCP服务器1,通过全局地址池的方式分配地址

PC1属于Vlan1(即LSW1上不需要做Vlan相关配置)

必选配置

开启DHCP(开启DHCP后才可以配置DHCP Snooping)

dhcp enable

开启IPv4的DHCP Snooping

dhcp snooping enable ipv4

接口开启DHCP Snooping并配置信任端口

interface Ethernet0/0/1   与服务器相连端口

dhcp snooping enable   开启DHCP Snooping

dhcp snooping trusted   配置端口为信任端口

interface Ethernet0/0/2    与客户端相连端口

dhcp snooping enable

可选配置

配置当用户下线后删除本地绑定表

dhcp snooping user-offline remove mac-address

配置ARP与DHCP Snooping联动

arp dhcp-snooping-detect enable

在Vlan1内配置DHCP Request检查(防止攻击者仿冒用户的DHCP Request报文)

dhcp snooping check dhcp-request enable vlan 1

查看DHCP Snooping绑定表

IP安全讲解(DHCP Snooping、IPSG、DAI)相关推荐

  1. DHCP snooping + IPSG准入机制

    文章目录 1 DHCP snooping 2 IPSG(IP Source Guard) 2.1 配置基于VLAN的IP Source Guard 2.2 配置基于接口的IP Source Guard ...

  2. dhcp snooping+IPSG的一些理解

    dhcp snooping是一种dhcp安全特性,能够过滤来自网络中主机或其他设备的非信任dhcp报文,通过建立并维护dhcp binding表. DHCP snooping 建立DHCP bindi ...

  3. DHCP Snooping IPSG

    祸兮福所倚,福兮祸所伏. 文章目录 一.DHCP 二.拓扑 三.基础配置 四.策略配置 五.DHCP中继 六.DHCP Snooping 一.DHCP Dynamic Host Configurati ...

  4. 有关思科dhcp snooping的测试总结

    DHCP snooping作为DAI和IP Sourceguard特性的基础组件,做好配置显得尤为重要. 下面总结一下此特性及部署注意事项: 1. 开启dhcp snooping的交换机,默认都会给所 ...

  5. DHCP snooping 原理和工作工程:

    1.信任功能: 作用:DHCP snooping的信任功能,就是为了让用户从合法的DHCP 服务器上获取到IP地址. DHCP Snooping 信任功能允许将端口分为信任端口和非信任端口:信任端口正 ...

  6. dhcp snooping华为_华为防火墙配置DHCP Snooping保护DHCP服务器

    该楼层疑似违规已被系统折叠 隐藏此楼查看此楼 DHCP Snooping是一种DHCP安全特性,通过MAC地址限制.DHCP Snooping安全绑定.IP + MAC绑定.Option82特性等功能 ...

  7. 华为 DHCP、DHCP中继、DHCP snooping

    哈喽,大家好!我是艺博东 ,是一个思科出身专注于华为的网工:好了,话不多说,我们直接进入正题. 文章目录 一.DHCP 拓扑 二.DHCP 基础配置 三.DHCP 测试 四.DHCP 分析 五.DHC ...

  8. DHCP snooping

    DHCP snooping基本功能简介: DHCP snooping是DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)的一种安全特性,主要具有如下两 ...

  9. DAI、DHCP SNOOPING、ip source guard、IPSG

    switch  3560上做安全: 模型:R1 and R2 (dhcp client )-->SW 3560-->R3(dhcp server)所有设备在同一个VLAN. R1 and ...

最新文章

  1. 大数据导论之为何需要引入大数据
  2. 测试服务器最大链接数_LoaRunner性能测试系统学习教程:probe监控(3)
  3. 有关于JAVA与后端C应用UTF8字符的通信
  4. 详解C调用lua脚本效率测试
  5. MassTransit中RequestResponse基本使用
  6. php函数(检查变量、函数、键是否存在)
  7. python数据参数_零基础学习python数据分析——函数的参数
  8. 第十一节课 课堂总结
  9. 阅文新霸王合同导致810万写手心态崩了?阅文集团回应:不可能推全部免费阅读...
  10. 使用Excel公式,获取 全路径中 的 文件名
  11. 自学python买什么教材-从自学到编写大学python教材——低调quot;虫师”谢乾坤
  12. bootloader总体操作设计
  13. 转]python 结巴分词(jieba)学习
  14. git tag标签操作
  15. 山东大学操作系统课设
  16. 计算机病毒黑色星期五制造者,计算机病毒复习资料
  17. apple script to 1s screen capture snapshot w/ windowsill
  18. 旅美见闻:美国贫民百姓众生相
  19. 如何提高自身代码能力
  20. 基于工业4g网关的危化品运输车监控方案

热门文章

  1. Openshift中Pod的SpringBoot2健康检查
  2. 论四核“冲动”的背后
  3. FFmpeg源代码简单分析 日志输出系统(av log 等)
  4. 51单片机学习笔记——蜂鸣器
  5. 大学计算机基础ppt操作题都考什么,大学计算机基础操作题.ppt
  6. 界面组件Telerik UI for WPF全新的Windows 11主题,一起来探索
  7. 关于CAD字体打开乱码,字体自动替换LSP,默认simplex,hztxt
  8. 笔记本外接显示器如何调亮度
  9. RGB颜色表(按需求分类),例如:柔和的、明亮的、温和的
  10. UBOOT NVME驱动(一路io队列和一路admin队列的例程分析)(未完成)