DHCP Snooping + Dynamic ARP Inspection(DAI) 配置

最新推荐文章于 2024-11-05 20:34:52 发布
转载 最新推荐文章于 2024-11-05 20:34:52 发布 · 253 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/550963
文章标签:

#操作系统 #运维 #数据库

在cisco设备中的配置
在cisco网络环境下,boot request在经过了启用DHCP SNOOPING特性的设备上时,会在DHCP数据包中插入option 82的选项(具体见RFC3046)
这个时候,boot request中数据包中的gateway ip address:为全0,所以一旦dhcp relay 设备检测到这样的数据包,就会丢弃。
虽然dhcp snooping是用来防止非法的dhcp server接入的,但是它一个重要作用是一旦客户端获得一个合法的dhcp offer。启用dhcp snooping设备会在相应的接口下面记录所获得IP地址和客户端的mac地址。这个是后面另外一个技术ARP inspection检测的一个依据。ARP inspection是用来检测arp请求的,防止非法的ARP请求。认为是否合法的标准的是前面dhcp snooping时建立的那张表。因为那种表是dhcp server正常回应时建立起来的,里面包括是正确的arp信息。如果这个时候有arp攻击信息,利用ARP inspection技术就可以拦截到这个非法的arp数据包。
其实利用这个方法,还可以防止用户任意修改IP地址,造成地址冲突的问题。

ip dhcp excluded-address 10.63.150.100 10.63.150.120    不由dhcp分配的地址
!
ip dhcp pool main      定义地址池
     network 10.63.144.0 255.255.255.0       定义地址池做用的网段及地址范围
     default-router 10.63.144.1      定义客户端的默认网关
     domain-name nbyzzj.cn        定义客户端所在域
     dns-server 10.60.12.11        定义客户端的dns
     lease 7      定义地址租约时间为7天
ip dhcp snooping      打开dhcp snooping功能
ip dhcp snooping vlan 10-12,101-108,315     定义snooping作用的vlan
ip dhcp snooping database flash:dhcp-snooping.db      将绑定表保存在flash中,避免重启设备后,重新绑定

ip arp inspection vlan 10-12,101-108,315    定义arp inspection 作用的vlan,它是根据dhcp snooping binding表做判断的
ip arp inspection validate src-mac dst-mac ip     侦测有效客户端须满足src-mac dst-mac ip 均无错
ip arp inspection log-buffer entries 1024      inspection 日志大小
ip arp inspection log-buffer logs 1024 interval 300     inspection 日志刷新时间,interval太小会占用大量cpu时间
!
!
!
errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause gbic-invalid
errdisable recovery cause l2ptguard
errdisable recovery cause psecure-violation
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause unicast-flood
errdisable recovery cause vmps
errdisable recovery cause arp-inspection
errdisable recovery interval 30
在开始应用Dynamic ARP Inspection时,交换机会记录大量的数据包,当端口通过的数据包过多时,交换机会认为遭受DoS攻击,从而将端口自动errdisable,造成 通信中断。为了解决这个问题,我们需要加入命令errdisable recovery cause arp-inspection

no file verify auto
logging on      当logging关闭时会占用大量cpu资源,一定勿忘打开
no spanning-tree loopguard default      最好不要打开
ip source binding 0004.76f6.e3e9 vlan 315 10.63.150.100 interface Gi1/0/11      手动增加静态地址的条目
!
interface GigabitEthernet1/0/11
switchport trunk encapsulation dot1q
switchport mode trunk
ip arp inspection limit none
arp timeout 2
ip dhcp snooping limit rate 100
由于下连设备,为了避免inspection让端口errdisable,所以对arp的侦测不做限制,若直接为接入设备, 可使用ip arp inspection limit rate 100
相关命令:
sh logging       查看Dymatic Arp Inspection (DAI) 是否生效.
sh ip dhcp snooping binding       查看snooping是否生效
sh ip dhcp binding       看dhcp server 是否生效.
sh arp       看arp信息是否与 dhcp snooping binding表一致
下级设备若支持dhcp snooping 可这样配置:
ip dhcp snooping
int g0/1      上行端口
switchport trunk encapsulation dot1q
switchport mode trunk
ip dhcp snooping trust      定义此端口为信任端口,从此口来的dhcp server数据有效,可阻止其它dhcp server发送dhcp数据。
经实验,对于已存在于绑定表中的mac和ip对于关系的主机,不管是dhcp获得,还是静态指定,只要符合这个表就可以了。如果表中没有就阻塞相应流量。
如果使用了dhcp中继服务,那需要在网关交换机上键入如下命令:
方法一:
    inter vlan10
     ip dhcp relay information trusted
方法二:
    switch(config)# ip dhcp relay information trust-all
晚上转载 最近在研究
本文转自 song8575 51CTO博客,原文链接:http://blog.51cto.com/song8575/107192

sas???
关注
DHCP snooping
zlw的博客
05-01 794
一.采用DHCP服务的常见问题   架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题,常见的有: ●DHCP Server的冒充 ●DHCP Server的DOS攻击,如DHCP耗竭攻击 ●某些用户随便指定IP地址,造成IP地址冲突   1、DHCP Server的冒充 ...
DHCP Snooping
lwljh134的博客
02-27 2208
DHCP SnoopingDHCPDynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
解决IP地址冲突的完美方法--DHCP SNOOPING
03-26
解决IP地址冲突的完美方法--DHCP SNOOPING 使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING功能。 例子: version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption service compress-config ! hostname C4-2_4506 ! enable password xxxxxxx! clock timezone GMT 8 ip subnet-zero no ip domain-lookup ! ip dhcp snooping vlan 180-181 // 对哪些VLAN 进行限制 ip dhcp snooping ip arp inspection vlan 180-181 ip arp inspection validate src-mac dst-mac ip errdisable recovery cause udld errdisable recovery cause bpduguard errdisable recovery cause security-violation errdisable recovery cause channel-misconfig errdisable recovery cause pagp-flap errdisable recovery cause dtp-flap errdisable recovery cause link-flap errdisable recovery cause l2ptguard errdisable recovery cause psecure-violation errdisable recovery cause gbic-invalid errdisable recovery cause dhcp-rate-limit errdisable recovery cause unicast-flood errdisable recovery cause vmps errdisable recovery cause arp-inspection errdisable recovery interval 30 spanning-tree extend system-id ! ! interface GigabitEthernet2/1 // 对该端口接入的用户进行限制,可以下联交换机 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/2 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/3 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/4 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 --More-- 编者注:对不需要明确地址的所有人的时候是一个很好的解决办法。另外,可以查看www.cisco.com的 IP Source Guard Similar to DHCP snooping, this feature is enabled on a DHCP snooping untrusted Layer 2 port. Initially, all IP traffic on the port is blocked except for DHCP packets that are captured by the DHCP snooping process. When a client receives a valid IP address from the DHCP server, or when a static IP source binding is configured by the user, a per-port and VLAN Access Control List (PACL) is installed on the port. This process restricts the client IP traffic to those source IP addresses configured in the binding; any IP traffic with a source IP address other than that in the IP source binding will be filtered out. This filtering limits a host's ability to attack the network by claiming neighbor host's IP address.
DHCP SnoopingDynamic ARP Inspection实现
MySpace
10-14 2077
DHCP监听将交换机端口划分为两类:     ●非信任端口:通常为连接终端设备的端口,如PC,网络打印机等     ●信任端口:连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口 一、DHCP snooping 技术介绍 DHCP监听(DHCP Snooping)是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性,交换机能够拦截第二层
Dynamic ARP Inspection(动态ARP检测)功能,简称DAI
qq_42342531的博客
01-06 9423
Dynamic ARP Inspection简介: Dynamic ARP Inspection(动态ARP检测)功能,简称DAI功能。通过检查ARP(Address Resolution Protocol,地址解析协议)报文的合法性,发现并防止ARP欺骗攻击,增强网络安全性。DAI功能主要分为以下两类: 1.端口DAI功能:对指定端口接收到的ARP报文进行合法性检测,便于发现并防止ARP欺骗...
Dynamic ARP inspection with DHCP snooping
最新发布
08-08
我们讨论的是动态ARP检测(DAI)与DHCP监听(Snooping)的结合使用。DAI用于防止ARP欺骗攻击,而DHCP Snooping则通过建立信任端口和监听DHCP交互来构建绑定表(IP-MAC-Port映射)。DAI利用这个绑定表来验证ARP请求和...
Brocade交换机配置DAI(Dynamic ARP Inspection)DHCP Snooping
然后呢
12-20 2721
这是前几年通过一个项目的测试总结出来的。现在不再做Brocade了,发出来给有需要的朋友们参考。ARP欺骗是局域网内非常常见的攻击手段,而DAI可以有效的防止这种攻击。相关配置:enable acl-per-port-per-vlan #开启基于物理端口的ACL过滤功能 ! ip arp inspection vlan 1 #在指定的VLAN开启DAI功能 ! interface
配置DHCP Snooping
lhh_2024的博客
11-05 1750
DHCP Snooping通过监视网络中的DHCP交互,记录下所有有效的DHCP服务器及其提供的IP地址与MAC地址的对应关系,并将这些信息存储到一个安全的DHCP绑定数据库中。:DHCP SnoopingDHCPDynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系。1. 配置合法dhcp服务器以及非法dhcp服务器的dhcp功能。
DHCP-SnoopingDAI
weixin_33827590的博客
05-13 1673
DHCP-SnoopingDAI简介DHCP-SnoopingDHCP窥探):当交换机开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Of...
解决IP地址冲突的完美方法-DHCP SNOOPING.pdf
06-03
解决IP地址冲突的完美方法-DHCP SNOOPING.pdf
网络部署DHCP Snooping+DAI功能
weixin_74904641的博客
02-15 1006
在S1、S2交换机部署DHCP Snooping+DAI功能。其中,DAI功能主要针对VLAN10与VLAN20启用ARP防御,要求关闭S1/S2上联口的NFPP功能,具体配置如下:
ip dhcp snooping
weixin_34234829的博客
04-22 230
DHCP监听将交换机端口划分为两类: ●非信任端口:通常为连接终端设备的端口,如PC,网络打印机等 ●信任端口:连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口 一、DHCP snooping 技术介绍 DHCP监听(DHCP Snooping)是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通...
IP DHCP Snooping
weixin_34194317的博客
11-06 111
转载http://tech.ddvip.com/2009-04/1240307726116182_4.html一、采用DHCP服务的常见问题  架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了  网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题,常见的有:  ●DHCPServer的冒充  ●DHCPServer的D...
思科交换机 DHCP SNOOPINGDAI、IPSG方案
weixin_33749131的博客
08-21 1092
一、关于DHCP的欺骗***1、一个DHCP的***者,同样可以在一个VLAN中提供SERVER服务2、DHCP***者会应答DHCP客户端的发送请求信息3、***者会分配IP地址等信息和默认网关给DHCP客户端说明:在一个VLAN中存在多个DHCP服务器可能会造成地址分配冲突问题二、解决DHCP的欺骗***(DHCP SnoopingDHCP监听)1、DHCP Snoopi...
ip dhcp snooping 配置不当造成PC不能正常获取IP
weixin_33897722的博客
04-20 1697
今天去一个客户那里排查一个困扰他们半个月之久的问题,就是网络中一部分VLAN不能自动获取IP地址,上午去到他们那里已经10点多了,天气有点热,客户的网络结构是,思科6509两台做hsrp为核心层,下面的接入层交换机为思科2950,在6509上启用了DHCP服务,为每个VLAN分配IP地址。现问题就出现在其中的几个VLAN,PC接在这VLAN下就是获取不到IP地址,跟客户沟通知...
ip dhcp snooping配置
热门推荐
blakegao的专栏
10-02 1万+
一、DHCP snooping 技术介绍   DHCP监听(DHCP Snooping)是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性,交换机能够拦截第二层VLAN域内的所有DHCP报文。   通过开启DHCP监听特性,交换机限制用户端口(非信任端口)只能够发送DHCP请求,丢弃来自用户端口的所有其它DHCP报文,例如DHCP Off
DHCP DHCP Snooping
weixin_55932038的博客
05-08 1323
因为DHCP客户端发送的DHCP Discover报文是以广播形式发送,无论是合法的DHCP 服务器,还是非法的DHCP Server都可以接收到DHCP Discover报文,如果此时非法的DHCP仿冒服务器,回应给DHCP 客户端,恶意的仿冒信息(如:错误的IP、错误的网关、错误的DNS),DHCP 客户端无法分辨这些信息,所以最终导致DHCP客户端无法上网和信息泄露。-DHCP SnoopingDHCP 客户端和DHCP 服务器之间建立一道虚拟防火墙,以抵御网络中针对DHCP的各种攻击。
以太网交换安全:DHCP Snooping
fanshizhiren的博客
10-29 2705
总的来说,DHCP Snooping是提升网络中DHCP服务安全性的重要技术手段之一。它通过监控和管理DHCP交互过程,确保只有经过验证的DHCP服务器才能为客户端分配IP地址,从而有效防止了多种针对DHCP的攻击行为。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值