DAI、DHCP SNOOPING、ip source guard、IPSG
switch 3560上做安全:
模型:R1 and R2 (dhcp client )-->SW 3560-->R3(dhcp server)所有设备在同一个VLAN.
R1 and R2上开 ip address dhcp
R3上做dhcp pool
- 此时R1、R2可以拿到ip address
- 当SW开启ip dhcp snooping和 ip address snooping vlan 20,拿不到地址,当然,在连接R3(DHCP Server这个接口已经敲 ip dhcp snooping trust)
- 有三种方式可以解决
- 在R3对应的SW接口上敲ip dhcp relay information trusted
- 在所有untrust的SW接口上敲 ip dhcp snooping information option allow-untrusted
- 或者在SW的全局下敲no ip dhcp snooping information option
- 当做IPSG=ip source guard的时候。R1先用dhcp获得地址,ping R2,看arp 表象,arp是全的。此时可以在SW上开启IPSG 的这个feature。可以有两种方式
- ip 过滤 命令为ip verify source
- ip+mac 过滤 命令为ip verify source port-security
- 最后还要在untrust接口上敲switch port-security
- 当做DAI的时候。dynamic arp inspection。 命令为ip arp inspection vlan 10。同上,测试方法为,修改R1的地址和MAC地址,然后ping R2,都会被干掉。
- 问题1:两种的表现方式都是一样的,那两种技术的区别本质在哪。DAI是过滤ARP的欺骗的。IPSG是做源检测的。也有可能测试的方法不对。原因是当R1先用dhcp获取地址,然后ping R2。此时arp表对的。然后修改R1的地址。此时R1的ARP的cache没有了。所以要发ARP request。此时被DAI技术干掉
- 那么什么方式的测试,DAI技术做不到,而IPSG可以做到呢???未知
- 两者的共同点:都可以使用DHCP snooping binding database来做动态处理,也可以手动写静态表象。IPSG不同于DAI的是,IPSG还有自己的表象,是ip source binding database
- 检查命令:show ip dhcp snooping binding ,show ip verify source , sh ip source binding dhcp-snooping 。
转载于:https://blog.51cto.com/anysec/927421
DAI、DHCP SNOOPING、ip source guard、IPSG相关推荐
- IP Source Guard
IP Source Guard IP Source Guard 功能H3C交换机用于对端口收到的报文进行过滤控制,以防止非法用户报文通过.配置了 IP Source Guard 功能的端口只转发与绑定 ...
- 2022-09-07 网工进阶(三十)以太网交换安全-端口隔离、MAC地址表安全、端口安全、MAC地址漂移防止与检测、链路层安全、流量抑制、风暴控制、IPSG(IP Source Guard)
概述 目前网络中以太网技术的应用非常广泛.然而,各种网络攻击的存在,不仅造成了网络合法用户无法正常访问网络资源,而且对网络信息安全构成严重威胁,因此以太网交换的安全性越来越重要. 端口隔离 大型网络中 ...
- 【以太网交换安全】--- 交换机流量控制/DHCP Snooping/IP Source Guard
文章目录 前言 一.交换机流量背景 二.交换机流量控制两种实现方式 2.1 流量抑制(超出部分丢弃) 2.2 风暴控制(对有超出部分报文进行阻塞) 三.DHCP Snooping概述及实现原理 3.1 ...
- 【锐捷交换】接入交换机配置DHCP Snooping + IP Source guard + ARP-check
功能简介 DHCP Snooping + IP Source guard + ARP-check防ARP欺骗方案:在用户PC动态获取IP地址的过程中,通过接入层交换机的DHCP Snooping功能将 ...
- 华为 DHCP、DHCP中继、DHCP snooping
哈喽,大家好!我是艺博东 ,是一个思科出身专注于华为的网工:好了,话不多说,我们直接进入正题. 文章目录 一.DHCP 拓扑 二.DHCP 基础配置 三.DHCP 测试 四.DHCP 分析 五.DHC ...
- DHCP欺骗泛洪攻击、如何防御DHCP欺骗攻击——DHCP snooping技术、DHCP snooping配置命令
目录 一.DHCP欺骗泛洪攻击 (1)钓鱼网站简介: (2)DNS的作用: (3)DHCP中继技术简介: (3-1)核心交换机DHCP配置命令: (4)dhcp欺骗详解: 第一步:pc2作为恶意攻击者 ...
- Linux安装RPM包、查看本机ip和端口、手动配置ip、中标麒麟无法显示ip地址的详细解决方法
文章目录 安装rmp Linux安装RPM包.DEB包后,软件在哪 RPM包安装去向(例:包名=>redis) 查看本机ip 查看所有端口 手动配置ip 中标麒麟无法显示ip地址的详细解决方法 ...
- JAVA加密解密→术语、密码分类、OSI与TCP/IP安全体系、Base64、消息摘要算法MD/SHA/MAC、对称加密算法DES/AES/PBE、非对称加密算法DH/RSA/EIGamaI
术语 密码分类 OSI与TCP/IP安全体系 JAVA安全 Base64算法 消息摘要算法MD 消息摘要算法MD图解 消息摘要算法SHA 消息摘要算法SHA图解 消息摘要算法MAC 消息摘要算法MAC ...
- 162_附加145路由器项目中所用到的单链表操作_尾插、头插、遍历打印、查找ip、删除节点数据、释放全部、保存终端输入IP到文件、文件中的过滤IP插入到链表
动图: 过滤IP的链表 #include "ip_file.h" #define ip_config_name "ip_config"//与main.c共用一个 ...
最新文章
- 任天堂经典游戏可以体感操作了,打开网页就能玩,击败泰森不是梦
- PCIE4.0 简单介绍
- Meet Fabric8:基于Camel和ActiveMQ的开源集成平台
- poj 1436 Horizontally Visible Segments
- SystemTimer,TimerTaskList等源码分析
- 2018年面试准备汇总
- CPU读/写一个存储单元
- RDL报表制作和发布
- 【kafka】生产者速度测试
- 安装win7 64位系统时发生错误:File: \windows\system32\winload.efi
- SIFT@David G. Lowe
- 数据结构与算法实验01-使用链表实现多项式乘法
- 2022山东国际青少年眼睛健康产业展览会,护眼健康展9月开展
- Blender软件使用Maps Models Importer插件导入Google地图3d模型(非常简单)
- xinetd的安装配置
- VB.Net - 指令
- 基于LMI的输出反馈H∞控制及其仿真(含实现程序)
- RSA实现对文件的加密解密
- VM15安装Linux (红帽Linux)
- 两种快速打造App的方法
热门文章
- 3、mybatis主配置文件之settings
- Linux——基础IO(总结)
- dfs遍历和bfs遍历python_广度优先遍历(BFS)和深度优先遍历(DFS)
- java中 inheritdoc,【Java】Javadoc的使用
- 神策分析 1.16 版本上线场景库,实操方法论融入产品,全方位赋能多角色应用...
- 重学ES6 模板字符串
- 【晒出你的第83行代码】阿里研究员福贝,用一个小演示程序来解释一下 C++11/14 里的 closure 是可以多么的“爽”...
- Oracle 11G安装时遇到了net.bridge.bridge-nf-call-ip6tables错误
- Docker存储和虚拟化存储需求不同
- iOS动态部署之RSA加密传输Patch补丁