思科交换机配置IP DHCP SNOOPING、DAI、IPSG例子

思科交换机IP DHCP SNOOPING等配置示例
最新推荐文章于 2025-10-28 12:47:00 发布
原创 最新推荐文章于 2025-10-28 12:47:00 发布 · 1.9k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#思科 #binding #interface #database #terminal #数据库

本文详细介绍了在思科交换机上配置IP DHCP SNOOPING、DAI和IPSG的过程,以及它们在网络安全中的作用。通过配置这些功能,可以增强网络对非法DHCP和ARP欺骗的防护能力。具体配置包括在汇聚层和接入层交换机上的设置,以及如何保存和更新DHCP SNOOPING BINDING数据库。
部署运行你感兴趣的模型镜像

几个月来,我一直在想你。

一、网络拓扑

 


二、说明

1、拓扑说明:汇聚层交换机 为 CATALYST4506,核心交换机 为 CATALYST6506,接入层交换机为CATALYST2918。4506上启 用IP DHCP SNOOPING和DAI以及IPSG,4506上连和下连的端口均配置 为TRUNKING;6506 上配置 VLAN路由和DHCP 服务器;2918配置 基于端口的VLAN。

2、DHCP SNOOPING就像一个工作在非信任端口(连接主机或网络设备)和信任端口(连接DHCP SERVER或者网络设备)之间的防火墙,其DHCP SNOOPING BINDING DATABASE中保存着非信任端口下所连设备的MAC address, the IP address, the lease time, the binding type, the VLAN number, and the interface information等信息,但不保存信任端口所连设备的信息;在交换机上开启IP DHCP SNOOPING后,接口将工作在二层桥接状态,截取和保护通往二层VLAN的DHCP消息;在VLAN上开启IP DHCP SNOOPING后,交换机将工作在同一个VLAN域内的二层桥接状态。

3、思 科 交换机在全局配置模式下开启IP DHCP SNOOPING后,所有端口默认处于DHCP SNOOPING UNTRUSTED模式下,非信任端口接收到的DHCP OFFER、DHCP ACK、DHCP NAK、DHCP LEASEQUERY报文将被丢弃;信任端口正常接收转发,不进行监测。

4、交换机在RELOAD或重启后会丢失DHCP SNOOPING BINDING数据库,因此要将此表保存在交换机的FLASH或者保存在一个TFTP服务器中,使交换机在RELOAD或重启后可以从中读取信息,重新形 成DHCP SNOOPING BINDING数据库。比如下面这条命令:renew ip dhcp snoop data tftp://192.169.200.1/snooping.dat。

5、思科交换机在全局配置模式下开启IP DHCP SNOOPING后,所有的DHCP RELAY INFORMATION OPTION功能全部关闭。

6、根据思科的英文资料来看,说一个汇聚层交换机开启DHCP SNOOPING后,当其下连一个具有嵌入DHCP option-82 information的边缘交换机,且下连端口为非信任端口时,汇聚层交换机将丢弃从此端口接收到的具有option-82 information的DHCP报文;但当在汇聚层交换机上开启IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED功能后,此时下连边缘交换机的端口虽然仍为非信任端口,但可以正常从此端口接收具有option-82 information的DHCP报文。

根据上面的分析,我理解如下,不知道对不对:思科交换机在全局配置模式下开启IP DHCP SNOOPING后,所有端口默认处于DHCP SNOOPING UNTRUSTED模式下,但DHCP SNOOPING INFORMATION OPTION功能默认是开启的,此时DHCP报文在到达一个SNOOPING UNTRUSTED端口时将被丢弃。因此,必须在4506配置IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED命令(默认关闭),以允许4506从DHCP SNOOPING UNTRUSTED端口接收带有OPTION 82的DHCP REQUEST报文。建议在交换机上关闭DHCP INFORMATION OPTION,即全局配置模式下NO IP DHCP SNOOPING INFORMATION OPTION。

7、对于允许手工配置IP地址等参数的客户端,可以手工添加绑定条目到DHCP SNOOPING BINDING数据库中。ip dhcp snooping binding 00d0.2bd0.d80a vlan 100 222.25.77.100 interface gig1/1 expiry 600表示手工添加一条MAC地址为00d0.2bd0.d80a,IP地址为222.25.77.100,接入端口为GIG1/1,租期时间为600秒 的绑定条目。

8、IPSG即IP SOURCE GUARD是在DHCP SNOOPING功能的基础上,形成IP SOURCE BINDING表,只作用在二层端口上。启用IPSG的端口,会检查接收到所有IP包,只转发与此绑定表的条目相符合的IP包。默认IPSG只以源IP地 址为条件过滤IP包,如果加上以源MAC地址为条件过滤的话,必须开启DHCP SNOOPING INFORMAITON OPTION 82功能。

9、DAI即DYNAMIC ARP INSPECTION也是以DHCP SNOOPING BINDING DATABASE为基础的,也区分为信任和非信任端口,DAI只检测非信任端口的ARP包,可以截取、记录和丢弃与SNOOPING BINDING中IP地址到MAC地址映射关系条目不符的ARP包。如果不使用DHCP SNOOPING,则需要手工配置ARP ACL。

三、配置

1、2918

Switch # configure terminal //全局配置模式

Switch(config)# interface range fa0/1 - 12

Switch(config-if-range)# switchport access vlan 100

Switch(config-if-range)# interface range fa0/13 - 24

Switch(config-if-range)# switchport access vlan 200

Switch(config-if-range)# interface gig0/1 //上连4506的端口

Switch(config-if)# //这里可不做配置,也可手工配置TRUNK

2、4506

Switch# configure terminal

Switch(config)# vtp version 2

Switch(config)# vtp mode client

Switch(config)# vtp domain gzy

Switch(config)# vtp password gzy123

Switch(config)# vlan 100

Switch(config)# vlan 200

Switch(config)# ip dhcp snooping //开启交换机的dhcp snooping功能

Switch(config)# ip dhcp snooping vlan 100,200 //在VLAN100和200中开启dhcp snooping功能

Switch(config)# no ip dhcp snooping information option //禁止在DHCP报文中嵌入和删除option 82信息

Switch(config)# ip dhcp snooping database tftp://192.168.200.1/snooping.dat

//将dhcp snooping database保存在tftp服务器(IP地址192.168.200.1)的snooping.dat文件中

Switch(config)# ip arp inspection vlan 100,200 //在VLAN100和200中开启DAI功能

Switch(config)# ip arp inspection validate src-mac ip //以源MAC和IP检测ARP包是否合法

Switch(config)# interface gig1/1 //上连6506的端口

Switch(config-if)# switchport trunk encapsulation dot1q

Switch(config-if)# switchport mode trunk

Switch(config-if)# ip dhcp snooping trust

Switch(config-if)# ip arp inspection trust

Switch(config-if)# interface gig2/2 //下连2918的端口

Switch(config-if)# switchport trunk encapsulation dot1q

Switch(config-if)# switchport mode trunk

Switch(config-if)# ip arp inspection limit none

Switch(config-if)# ip verify source vlan dhcp-snooping

Switch(config-if)# end

Switch(config)# copy run start

四、备注

写到后面越来越懒了,基本上就是这样了。6506上的配置不写了,很简单。因为2918不支持上述功能,因此只能在4506上做,但这样就只能在4506 下连2918的端口上来启用这些功能,在2918上发生的欺骗就无法防止了。没办法,思科的做法很奇怪。现在很多国内厂家的接入层交换机都可以实现这些功 能,比如Quidway、H3C、神洲数码、锐捷等。由于水平有限,写的不对的地方请高手指正。

 

无忧网客联盟专业讨论网络技术,CCNA CCNP CCIE CCSP

文章转载至http://bbs.net527.cn   无忧网客联盟

无忧linux时代

您可能感兴趣的与本文相关的镜像

Stable-Diffusion-3.5

Stable-Diffusion-3.5

图片生成
Stable-Diffusion

Stable Diffusion 3.5 (SD 3.5) 是由 Stability AI 推出的新一代文本到图像生成模型,相比 3.0 版本,它提升了图像质量、运行速度和硬件效率

net527
关注
企业网安全防范系列之三:思科交换机DHCP Snooping的运用,解决私接路由器导致地址错乱
网络之路Blog(其他平台同名)
03-04 3500
拓扑 DHCP服务在网络中应用很常见,但是也容易被干扰,为什么这么说呢,主要是因为DHCP的机制很简单,而且谁先响应先用谁的,并没有什么验证以及安全机制,这样如果网络中存在多个DHCP服务器的话,那么我们就不能确保内网PC能够准确的获取到对应的地址。而且也有攻击软件,能够非常快速的把合法地址池给全部获取完毕,这样内网PC获取到的则是攻击者提供的网段,比如错误的网关,DNS,这样使得更加容易让客户端访问错误的信息。 1、正常情况下DHCP的获取 说明:正常情况下由三层交换机来提供DHCP地址服...
配置DHCP Snooping实验:保护网络中的DHCP服务和防止欺骗攻击“
傻傻的心动的博客
06-10 5393
"配置DHCP Snooping实验:保护网络中的DHCP服务和防止欺骗攻击"
DHCP Snooping(Cisco交换机)功能标准配置对照
05-16
DHCP Snooping(Cisco交换机)功能标准配置对照
DHCP SnoopingDHCP 监听)详解​
最新发布
weixin_44943389的博客
10-28 762
结合其他安全机制(如 Dynamic ARP Inspection, DAI)增强网络安全。,阻止非法 DHCP 服务器(如攻击者)分配 IPDHCP Snooping 通常与其他安全机制。假设一个恶意用户(攻击者)在自己的电脑上运行。,用于后续安全策略(如 DAIIPSG)。,确保网络中的 DHCP 消息是可信的。
思科实验配置DHCP Snooping
Againmmm的博客
05-21 2723
DHCP Snooping配置和调试方法。配置静态端口安全、动态端口安全和粘滞端口安全的方法
开启Cisco交换机DHCP Snooping功能
weixin_34310127的博客
07-16 326
一、采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题常见的有:·DHCP Server的冒充·DHCP Server的DOS***,如DHCP耗竭***·某些用户随便指定IP地址,造成IP地址冲突1、DHCP Server的冒充由于DHCP服务...
HUAWEI DHCP Snooping-DAI-IPSG
qq_55707182的博客
03-30 3057
为了防御中间人攻击,可以在Switch上部署动态ARP检测DAI(Dynamic ARP Inspection)功能。动态ARP检测是利用绑定表来防御中间人攻击的。当设备收到ARP报文时,将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。 使能了DHCP Snooping的设备将用户(DHCP客户端)的DHCP请求报文通过信任接口发送给合法的DHCP服务器..
DHCP Snooping + DAI + IPSG
大任的网络专栏
05-03 5217
DHCP Snooping + DAI + IPSG   (2012-08-28 14:19:02) 转载▼ 标签:  监听   dhcp   snooping   dai   ipsg 分类: Cisco交换入门 DHCP Snooping + DAI + IPSG实验 因为DHCP
Cisco交换机DHCP Snooping功能详解+实例
weixin_34198881的博客
03-31 1万+
一、采用DHCP服务的常见问题 架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题,常见的有: ·DHCP Server的冒充 ·DHCP Server的DOS***,如DHCP耗竭***·某些用户随便指定IP地址,造成IP地址冲突 1、DHCP Ser...
企业网安全防范系列之二:DHCP Snooping技术介绍
网络之路Blog(其他平台同名)
03-04 865
DHCP存在的问题 架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了 网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题,常见的有: ●DHCP Server的冒充 ●DHCP Server的DOS攻击,如DHCP耗竭攻击 ●某些用户随便指定IP地址,造成IP地址冲突 1、DHCP Server的冒充 由于DHCP服务器和客户端之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数。.
DHCP Snooping理论与配置
m0_49864110的博客
03-06 7112
DHCP SnoopingDHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。设备收到arp报文时,将arp报文对应的源IP地址、源MAC地址、接口、Vlan等信息和绑定表的信息进行对比(如果信息匹配,则允许arp报文通过;1、配置静态绑定表,手动配置IP地址、MAC地址、Vlan等信息绑定DHCP Snooping IP源防攻击技术(IPSG)动态ARP检测技术(DAI
思科交换机 DHCP SNOOPINGDAIIPSG方案
weixin_33749131的博客
08-21 1160
一、关于DHCP的欺骗***1、一个DHCP的***者,同样可以在一个VLAN中提供SERVER服务2、DHCP***者会应答DHCP客户端的发送请求信息3、***者会分配IP地址等信息和默认网关给DHCP客户端说明:在一个VLAN中存在多个DHCP服务器可能会造成地址分配冲突问题二、解决DHCP的欺骗***(DHCP SnoopingDHCP监听)1、DHCP Snoopi...
(二)Cisco dhcp snooping配置解释
weixin_30596735的博客
05-24 647
#配置dhcp snooping相关命令 Switch(config)#ip dhcp snooping //打开DHCP Snooping功能 Switch(config)#ip dhcp snooping vlan 10//设置DHCP Snooping功能将作用于哪些VLAN Switch(config)#ip dhcp snooping verify mac-ad...
Cisco交换机关于DHCP SNOOPING配置指令
par@ish的博客
10-23 2640
在Cisco交换机上配置DHCP SnoopingDHCP欺骗防护)
Cisco DHCP Snooping
weixin_33681778的博客
07-06 512
在启用了DHCP的网络中可能会发生两种情况。 攻击者可以通过发送数千个DHCP请求,来发起DoS攻击(Starving Attack)。DHCP服务器无法判断请求是否是真实的,因此会消耗掉所有可用的IP地址。这会导致合法客户端无法通过DHCP请求获得IP地址。 攻击者把一台DHCP服务器连接到网络中,并使其充当该网段的DHCP服务器角色。这样入侵者就可以为默认网关和域名服务器分配错误的DH...
Cisco DHCP Snooping + Dynamic ARP Inspection(DAI
IT经验分享
06-23 7532
在cisco网络环境下,boot request在经过了启用DHCP SNOOPING特性的设备上时,会在DHCP数据包中插入option 82的选项(具体见RFC3046) 这个时候,boot request中数据包中的gateway ip address:为全0,所以一旦dhcp relay 设备检测到这样的数据包,就会丢弃。 虽然dhcp snooping是用来防止非法的dhcp ser
思科交换机端口配置IP地址的方法
热门推荐
Network_Engineer的博客
07-11 1万+
思科交换机配置端口的IP地址,可以通过配置SVI(Switch Virtual Interface)或直接在某些支持第三层功能的交换机上为物理接口配置IP地址。以下将详细介绍这两种方法。
思科为计算机配置ip命令,使用CLI在交换机上配置IP地址设置
weixin_42565402的博客
07-14 1万+
kmgmt3029-Upgrade-Firmware-Cisco-Business-Mobile-app目标交换机可以有多个IP地址。每个IP地址都可分配给指定接口或端口、链路聚合组(LAG)或虚拟局域网(VLAN)。 要远程管理设备,必须定义IP地址才能访问交换机。这允许您通过基于Web的实用程序、Telnet或安全外壳(SSH)轻松配置设备或排除设备故障。交换机的IP地址可以手动配置或从动态主...
dhcp snoopingDAIIPSG有什么区别
09-08
<think> 嗯,用户这次问的是DHCP Snooping下的DAIIPSG的区别,看来是在深入学习网络安全技术。之前用户问过DHCP Snooping的基础功能,现在明显在往纵深走。用户可能是网络工程师或备考认证的学习者,需要精准的对比表格来帮助记忆。 DAIIPSG确实容易混淆,核心差异在于防护维度:DAI防ARP欺骗(三层),IPSGIP地址盗用(二层)。用户可能真正想理解的是“什么时候该用哪个功能”,所以需要强调部署场景。那个对比表格必须突出检测机制的差异——DAI依赖DHCP绑定表+ARP包解析,而IPSG直接比对报文源MAC-IP组合。 注意到用户上次接受过Python代码示例,这次虽然不需要代码,但可以补充日志分析这种实操细节。另外用户似乎偏好结构化信息,上次回复的表格反馈良好,这次继续沿用并增加“防御效果”列会更实用。 安全功能通常要解释联动关系,得强调它们如何互补:IPSG阻止非法接入,DAI防止中间人攻击,组合起来才是完整防护。最后提醒绑定表维护这个常见痛点——静态绑定容易遗漏,动态绑定的租期问题都是实际运维难点。 要不要提IPv6呢?用户没明确环境,但未来兼容性值得备注。保持克制先写在补充说明里,避免信息过载。防御场景的实例(如ARP欺骗攻击、IP地址盗用)用具体案例说明会更生动,但用户问得比较技术向,实例作为扩展可能更合适。 </think> DHCP Snooping的**DAI(动态ARP检测)** 和**IPSGIP源防护)** 是互补的网络安全机制,核心区别如下: --- ### **DAI (Dynamic ARP Inspection)** 1. **防护目标** 防止ARP欺骗(中间人攻击),确保设备只能发送正确的ARP响应。 2. **工作原理** - 利用DHCP Snooping绑定表(记录IP-MAC-Port-VLAN的对应关系) - 检测**所有ARP请求/响应包**,验证`源IP`和`源MAC`是否与绑定表匹配 - 丢弃非法ARP包并生成日志告警 3. **部署位置** 在交换机接入层端口(用户接入点)启用 4. **关键依赖** 必须开启DHCP Snooping以生成绑定表 *例:攻击者伪造网关MAC的ARP响应会被DAI拦截[^1]* --- ### **IPSG (IP Source Guard)** 1. **防护目标** 防止IP地址伪造(IP Spoofing),确保设备只能使用合法分配的IP。 2. **工作原理** - 基于DHCP Snooping绑定表(或静态配置的绑定表) - 检查**所有入站数据包**的`源IP`和`源MAC`是否与绑定表一致 - 丢弃非法数据包(如未授权的IP) 3. **部署位置** 在交换机接入层端口启用 4. **关键依赖** 需DHCP Snooping支持或手动配置绑定表 *例:非法主机冒充他人IP发送数据会被IPSG阻断[^2]* --- ### **核心对比表** | 特性 | DAI | IPSG | |--------------|------------------------------|------------------------------| | **防护层** | 网络层(ARP协议) | 网络层(IP数据包) | | **检测对象** | ARP报文 | 所有入站数据包 | | **验证内容** | 源IP+源MAC合法性 | 源IP+源MAC合法性 | | **主要威胁** | ARP欺骗、中间人攻击 | IP地址伪造、非法主机接入 | | **拦截时机** | ARP通信阶段 | 数据传输阶段 | --- ### **协同工作场景** 1. **防御ARP攻击**:DAI阻断伪造的ARP响应 2. **阻止IP盗用**:IPSG拦截非法IP发出的流量 3. **依赖基础**:两者均需DHCP Snooping生成的绑定表 ```mermaid graph LR A[DHCP Snooping] --> B(生成绑定表) B --> C[DAI] --> D[阻断ARP欺骗] B --> E[IPSG] --> F[阻断IP欺骗] ``` --- ### **注意事项** - **绑定表维护**:静态绑定需手动配置,动态绑定依赖DHCP租期 - **性能影响**:在老旧设备上可能增加交换延迟 - **联动建议**:DAIIPSG需同时部署以形成纵深防御 - **特殊场景**:IPv6环境中需启用IPv6 Snooping+RA Guard替代方案 > **总结**:DAI是"网络身份验证员"(确保ARP可信),IPSG是"流量安检门"(确保IP来源合法)。两者结合可有效抵御二层网络攻击[^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值