本文探讨了如何在思科交换机上实施IP-MAC-PORT绑定和DHCP Snooping技术,以增强网络安全性。通过这两种方法,可以有效防止非法设备接入和IP地址冲突,提升网络管理效率。
【背景描述】
1
、什么是ARP?
ARP协议是“Address Resolution Protocol”(
地址 解析协议)的缩写。在局域网 中,网络中实际传输的是“帧”,帧里面是有目标
主 机 的MAC
地址 的。 在以太网中,一个
主机 要和另一 个 主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发 送帧前将目标
IP 地址转换 成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的
IP 地址,查询目标设备的MAC地 址,以保证通信的顺利进行。
2
、ARP协议的工作原理
正常情况下,每台主机都会在自己的ARP缓冲区中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的 MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后,会检查数据包中的目 的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP 表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的 ARP列表中,并利用此信息开始数据的传输。
3
、常见的ARP攻击类型
![clip_image002[8]](http://yonggang.blog.51cto.com//attachment/200810/30/94083_1225354455ipzN.jpg)
![clip_image002[10]](http://yonggang.blog.51cto.com//attachment/200810/30/94083_12253544949pm6.jpg)
![clip_image004[9]](http://yonggang.blog.51cto.com//attachment/200810/30/94083_1225354499oaoO.jpg)
![clip_image006[9]](http://yonggang.blog.51cto.com//attachment/200810/30/94083_1225354526PlP9.jpg)
交换机 的IP- MAC-PORT绑定可以很好地解决ARP欺骗行为,保护网络的安全。
【实验拓扑】
【实验设备】DES-3526交换机1台,测试PC2台,网线若干。
【实验步骤】
初始阶段,绑定的数目为零
开始的时候测试PC连接在交换机的第一个端口,此时与路由器通信正常。
将此计算机从第一端口移至1-8端口的任一端口,它与路由器的通信仍然正常,因为我们已经将192.168.1.11&00-16- d3-b8-70-08这个地址对绑定到了1-8端口。
将此计算机连接到9-16端口的任一端口,此时它与路由器的通信中断,因为我们没有在9-16端口上绑定 192.168.1.11&00-16-d3-b8-70-08。
此时将测试计算机连接到交换机的1-8端口任意一口,然后将此计算机的IP地址修改为192.168.1.12,然后测试与路由器的通信。
虽然仍然连接在1-8端口中,但是由于修改了此计算机的IP地址,也已经被交换机所阻止其通信。如果修改了计算机的MAC地址,结果也是同样 的。
要想使此交换机可以在1-16端口中正常通信,可以修改此ip-mac地址对所绑定的端口为1-16。
在交换机上配置了IMP功能以后,交换机会检查每个数据包的源IP地址和MAC,对于没有在交换机内记录的IP和MAC地址的计算机所发出的数 据包都会被交换机所阻止,这也从根源上杜绝了ARP病毒的攻击。IMP功能也有效地防止了内部网络某些人出于某些目的擅自修改自己计算机的IP、MAC地 址或者交换机端口号的行为。从而保障了网络的安全。
注:在未启用IMP功能的交换机端口上所连接的计算机则不受以上规则的限制。
【知识扩展】
IP-MAC-PORT绑定是在交换机上面静态的绑定网络内主机的ip-mac-port的对应关系,在网络内主机数目比较少的情况下,使用 IP-MAC-PORT绑定是比较方便的。当网络内主机的数目比较多的时候,这种方式就比较繁琐。
这个时候我们采用的是DHCP SNOOPING的方式来解决这个问题。对于比较大型的网络,最长采用的是使用DHCP服务器为网络内的主机来自动分配IP地址 ,这个时候可以开启交换机上面的DHCP SNOOPING功能, DHCP Snooping可以自动的学习IP和MAC以及端口的配对,并将学习到的对应关系保存到交换机的本地数据库中。 在客户机发送数据的时候只有和数据库中 IP-MAC-PORT条目匹配正确,数据 才能通过 相应的端口进行传输 。如果这个时候网络内某个主机对其他主机发送ARP欺骗数据包,交换机都回及时的将数据进行阻止,来保护网络的安全。
下面我们来看一个DHCP-Snooping的实验例子,实验环境与上例同。
【实验拓扑】
【实验步骤】
在交换机上配置DHCP-Snooping参数
计算机在修改了自身IP 地址以后,被交换机所阻止。同样修改了自身MAC地址也会得到同样的结果。除了防止用户修改IP-MAC信息以外,DHCP-Snooping还可以限制 接入的计算机的数目。例如下例:
这个例子中 ,DHCP SNOOPING只允许每个端口学习一条IP-MAC的对应条目,连接在这个端口上的其他主机被认为非法的主机阻止其进行通信。
原来PC1直接连接在交换机的第一个端口上,可以进行正常的网络通信。为了让更多的机器上网,在端口1下面私自连接了一台交换机,PC1和 PC2都连接到这台交换机上面。但是由于交换机做了安全设置,虽然PC2通过DHCP服务器获得了IP地址,但是PC2被交换机认定为非法的主机而 阻止其通信。
虽然PC2也可以从路由器获取到IP地址,但是由于在交换机上执行了每个端口只允许绑定一个IP-MAC条目,所以PC2的通信就被交换机所阻 止了。这在一定程度限制了网络上非法计算机的接入,保证了网络的安全。
扫一扫
203
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
