使用DHCP監聽、IPSG和DAI實現Cisco多層交換網路的安全
採用 DHCP server 可以自動為使用者設定網路 IP 地址、掩碼、閘道器、 DNS 、 WINS 等網路引數,簡化了使用者網路設定,提高了管理效率。但在 DHCP 管理使用上也存在著一些另網管人員比較問題,常見的有:
• DHCP server 的冒充。
• DHCP server 的 Dos 攻擊。
• 有些使用者隨便指定地址,造成網路地址衝突。
由於 DHCP 的運作機制,通常伺服器和客戶端沒有認證機制,如果網路上存在多臺 DHCP 伺服器將會給網路照成混亂。由於使用者不小心配置了 DHCP 伺服器引起的網路混亂非常常見,足可見故意人為破壞的簡單性。通常黑客攻擊是首先將正常的 DHCP 伺服器所能分配的 IP 地址耗盡,然後冒充合法的 DHCP 伺服器。最為隱蔽和危險的方法是黑客利用冒充的 DHCP 伺服器,為使用者分配一個經過修改的 DNS server ,在使用者毫無察覺的情況下被引導在預先配置好的假金融網站或電子商務網站,騙取使用者帳戶和密碼,這種攻擊是非常惡劣的。
對於 DHCP server 冒充和Dos 攻擊可以利用DHCP snooping、IPSG、DAI 技術有效防止。
任務一: 啟用DHCP監聽
步驟1:在交換A和B上啟用VLAN10的DHCP監聽。因為cisco ios DHCP伺服器不支援選項82,所以交換機A和B將禁用選項82的標記:// 82的標記—-中繼代理選項.
SwitchA#configure terminal
SwitchA(config)#ip dhcp snooping
SwitchA(config)#ip dhcp snooping vlan 10
SwitchA(config)#no ip dhcp snooping information
SwitchB#configure terminal
SwitchB(config)#ip dhcp snooping
SwitchB(config)#ip dhcp snooping vlan 10
SwitchB(config)#no ip dhcp snooping information
步驟2:在交換機A中,將與DHCP伺服器相連線的介面配置為DHCP信任,在交換B中,將連線PC A和PC B的介面配置為DHCP非信任。此外,上行鏈路介面需要配置為DHCP監聽信任.
SwitchA(config)#interface g 3/18
SwitchA(config-if)#ip dhcp snooping trust
SwitchA(config)#interface g3/18
SwitchA(config-if)#ip dhcp snooping trust
SwitchB(config)#interface f3/7
SwitchB(config-if)#no ip dhcp snooping trust
SwitchB(config)#interface f3/17
SwitchB(config-if)#no ip dhcp snooping trust
SwitchB(config)#interface g1/1
SwitchB(config-if)#ip dhcp snooping trust
步驟3: 在與PC A和PC B相連線的終端使用者上配置IP源防護,以次實現驗證IP地址的目的:
SwitchB(config-if)#interface fa 3/7
SwitchB(config-if)#ip verity source vlan dhcp-snooping
SwitchB(config-if)#interface fa 3/17
SwitchB(config-if)#ip verity source vlan dhcp-snooping
步驟4:配置DHCP伺服器的靜態IP源繫結,其在交換機A上的IP地址是10.10.1.101
SwitchA(config)#ip source binding 000a.4172.df7f vlan 10 10.10.1.101
步驟5:在交換機上A和B中配置VLAN10的DAI
SwitchA(config)#ip arp inspection vlan 10
SwitchB(config)#ip arp inspection vlan 10
步驟6:在交換機A和B中配置上行鏈路為DAI信任介面
SwitchA(config)#interface g 1/1
SwitchA(config-if)#ip arp inspection trust
SwitchB(config)#interface g 1/1
SwitchB(config-if)#ip arp inspection trust
任務二: 驗證DHCP監聽,IPSG和DAI狀態
步驟1:在交換機A和交換B中驗證DHCP監聽狀態和繫結表.
SwitchA#show ip dhcp snooping
步驟2:在交換機A和交換B中驗證ip源防護繫結和狀態:
SwitchA#show ip source binding
步驟3:在交換機A和交換B中驗證DAI狀態和統計資訊:
SwitchA#show ip arp inspection
本文轉自hexianguo 51CTO部落格,原文連結:http://blog.51cto.com/xghe110/88740,如需轉載請自行聯絡原作者
相關文章
- 網路安全之IPSG防止DHCP動態主機私自更改IP地址
- 交換網路安全防範系列二之DHCP攻擊的防範
- 網路安全netstat監聽網路狀態。
- CISCO交換機,埠安全配置例項。
- 疫情當前 網路安全更重要——IPSG特性
- 實戰演練!CISCO交換機埠安全一點通
- 網路多層交換讓路由器“智慧”起來(轉)路由器
- iOS 使用 Reachability 監聽網路狀態iOS
- 二層交換機鏈路聚合、三層交換機鏈路聚合和三層交換機的單臂路由專案路由
- Cisco網路工程師和網路安全課程學習記錄工程師
- 在多臺Cisco交換機更改相同的配置命令(轉)
- java鍵盤監聽之視窗監聽的實現Java
- 【轉】交換機開發(三)—— 深入分析三層網路交換機的原理和設計
- 使用OkHttp實現下載的進度監聽和斷點續傳HTTP斷點
- 安卓監聽網路變化安卓
- 使用監聽器實現JavaWeb的定時執行JavaWeb
- 二層、三層交換機和四層交換機的區別(轉)
- Lumen 實現 SQL 監聽SQL
- Cisco 交換機利用CDP資料自動繪製網路拓撲圖[drawio]-實踐
- Jbpm4監聽的實現
- 華為網路技術-三層交換技術
- 工業網路交換機助力礦井安全監測系統的高效執行
- iOS AFN監聽網路狀態iOS
- Cisco 3550配置DHCP中繼代理中繼
- KVO的使用和底層實現原理
- CISCO交換機STP實驗(生成樹協議)協議
- 兩層網路監控拓撲結構的原因和方法
- 三層交換機怎麼設定vlan網路
- 一步步帶你實現Android網路狀態監聽Android
- 二層交換機 三層交換機 四層交換機的區別
- 一個Oracle監聽問題的網路排查Oracle
- 計算機網路的 Cisco Packet Tracer 實驗計算機網路
- iOS 網路最佳化:iOS 14 網路層效能和安全性iOS
- OkHttp優雅的實現下載監聽HTTP
- 動態監聽和靜態監聽
- 簡單的RNN和BP多層網路之間的區別RNN
- Vue3 為何使用 Proxy 實現資料監聽Vue
- 使用 WebSphere BPM 套件實現多模組監測Web套件