switch  3560上做安全:

模型:R1 and R2 (dhcp client )-->SW 3560-->R3(dhcp server)所有设备在同一个VLAN.

R1 and R2上开 ip address dhcp

R3上做dhcp pool

  1. 此时R1、R2可以拿到ip address
  2. 当SW开启ip dhcp snooping和 ip address snooping vlan 20,拿不到地址,当然,在连接R3(DHCP Server这个接口已经敲 ip dhcp snooping trust)
  3. 有三种方式可以解决
    1. 在R3对应的SW接口上敲ip dhcp relay information trusted
    2. 在所有untrust的SW接口上敲 ip dhcp snooping information option allow-untrusted
    3. 或者在SW的全局下敲no ip dhcp snooping information option
  4. 当做IPSG=ip source guard的时候。R1先用dhcp获得地址,ping R2,看arp 表象,arp是全的。此时可以在SW上开启IPSG 的这个feature。可以有两种方式
    1. ip 过滤 命令为ip verify source
    2. ip+mac 过滤 命令为ip verify source port-security
    3. 最后还要在untrust接口上敲switch port-security
  5. 当做DAI的时候。dynamic arp inspection。 命令为ip arp inspection vlan 10。同上,测试方法为,修改R1的地址和MAC地址,然后ping R2,都会被干掉。
  6. 问题1:两种的表现方式都是一样的,那两种技术的区别本质在哪。DAI是过滤ARP的欺骗的。IPSG是做源检测的。也有可能测试的方法不对。原因是当R1先用dhcp获取地址,然后ping R2。此时arp表对的。然后修改R1的地址。此时R1的ARP的cache没有了。所以要发ARP request。此时被DAI技术干掉
  7. 那么什么方式的测试,DAI技术做不到,而IPSG可以做到呢???未知
  8. 两者的共同点:都可以使用DHCP snooping binding database来做动态处理,也可以手动写静态表象。IPSG不同于DAI的是,IPSG还有自己的表象,是ip source binding database
  9. 检查命令:show ip dhcp snooping binding ,show ip verify source , sh ip source binding dhcp-snooping 。

转载于:https://blog.51cto.com/anysec/927421

DAI、DHCP SNOOPING、ip source guard、IPSG相关推荐

  1. IP Source Guard

    IP Source Guard IP Source Guard 功能H3C交换机用于对端口收到的报文进行过滤控制,以防止非法用户报文通过.配置了 IP Source Guard 功能的端口只转发与绑定 ...

  2. 2022-09-07 网工进阶(三十)以太网交换安全-端口隔离、MAC地址表安全、端口安全、MAC地址漂移防止与检测、链路层安全、流量抑制、风暴控制、IPSG(IP Source Guard)

    概述 目前网络中以太网技术的应用非常广泛.然而,各种网络攻击的存在,不仅造成了网络合法用户无法正常访问网络资源,而且对网络信息安全构成严重威胁,因此以太网交换的安全性越来越重要. 端口隔离 大型网络中 ...

  3. 【以太网交换安全】--- 交换机流量控制/DHCP Snooping/IP Source Guard

    文章目录 前言 一.交换机流量背景 二.交换机流量控制两种实现方式 2.1 流量抑制(超出部分丢弃) 2.2 风暴控制(对有超出部分报文进行阻塞) 三.DHCP Snooping概述及实现原理 3.1 ...

  4. 【锐捷交换】接入交换机配置DHCP Snooping + IP Source guard + ARP-check

    功能简介 DHCP Snooping + IP Source guard + ARP-check防ARP欺骗方案:在用户PC动态获取IP地址的过程中,通过接入层交换机的DHCP Snooping功能将 ...

  5. 华为 DHCP、DHCP中继、DHCP snooping

    哈喽,大家好!我是艺博东 ,是一个思科出身专注于华为的网工:好了,话不多说,我们直接进入正题. 文章目录 一.DHCP 拓扑 二.DHCP 基础配置 三.DHCP 测试 四.DHCP 分析 五.DHC ...

  6. DHCP欺骗泛洪攻击、如何防御DHCP欺骗攻击——DHCP snooping技术、DHCP snooping配置命令

    目录 一.DHCP欺骗泛洪攻击 (1)钓鱼网站简介: (2)DNS的作用: (3)DHCP中继技术简介: (3-1)核心交换机DHCP配置命令: (4)dhcp欺骗详解: 第一步:pc2作为恶意攻击者 ...

  7. Linux安装RPM包、查看本机ip和端口、手动配置ip、中标麒麟无法显示ip地址的详细解决方法

    文章目录 安装rmp Linux安装RPM包.DEB包后,软件在哪 RPM包安装去向(例:包名=>redis) 查看本机ip 查看所有端口 手动配置ip 中标麒麟无法显示ip地址的详细解决方法 ...

  8. JAVA加密解密→术语、密码分类、OSI与TCP/IP安全体系、Base64、消息摘要算法MD/SHA/MAC、对称加密算法DES/AES/PBE、非对称加密算法DH/RSA/EIGamaI

    术语 密码分类 OSI与TCP/IP安全体系 JAVA安全 Base64算法 消息摘要算法MD 消息摘要算法MD图解 消息摘要算法SHA 消息摘要算法SHA图解 消息摘要算法MAC 消息摘要算法MAC ...

  9. 162_附加145路由器项目中所用到的单链表操作_尾插、头插、遍历打印、查找ip、删除节点数据、释放全部、保存终端输入IP到文件、文件中的过滤IP插入到链表

    动图: 过滤IP的链表 #include "ip_file.h" #define ip_config_name "ip_config"//与main.c共用一个 ...

最新文章

  1. 任天堂经典游戏可以体感操作了,打开网页就能玩,击败泰森不是梦
  2. PCIE4.0 简单介绍
  3. Meet Fabric8:基于Camel和ActiveMQ的开源集成平台
  4. poj 1436 Horizontally Visible Segments
  5. SystemTimer,TimerTaskList等源码分析
  6. 2018年面试准备汇总
  7. CPU读/写一个存储单元
  8. RDL报表制作和发布
  9. 【kafka】生产者速度测试
  10. 安装win7 64位系统时发生错误:File: \windows\system32\winload.efi
  11. SIFT@David G. Lowe
  12. 数据结构与算法实验01-使用链表实现多项式乘法
  13. 2022山东国际青少年眼睛健康产业展览会,护眼健康展9月开展
  14. Blender软件使用Maps Models Importer插件导入Google地图3d模型(非常简单)
  15. xinetd的安装配置
  16. VB.Net - 指令
  17. 基于LMI的输出反馈H∞控制及其仿真(含实现程序)
  18. RSA实现对文件的加密解密
  19. VM15安装Linux (红帽Linux)
  20. 两种快速打造App的方法

热门文章

  1. 3、mybatis主配置文件之settings
  2. Linux——基础IO(总结)
  3. dfs遍历和bfs遍历python_广度优先遍历(BFS)和深度优先遍历(DFS)
  4. java中 inheritdoc,【Java】Javadoc的使用
  5. 神策分析 1.16 版本上线场景库,实操方法论融入产品,全方位赋能多角色应用...
  6. 重学ES6 模板字符串
  7. 【晒出你的第83行代码】阿里研究员福贝,用一个小演示程序来解释一下 C++11/14 里的 closure 是可以多么的“爽”...
  8. Oracle 11G安装时遇到了net.bridge.bridge-nf-call-ip6tables错误
  9. Docker存储和虚拟化存储需求不同
  10. iOS动态部署之RSA加密传输Patch补丁