使用DHCP监听、IPSG和DAI实现Cisco多层交换网络的安全

简介:
 
采用 DHCP server 可以自动为用户设置网络 IP 地址、掩码、网关、 DNS  WINS 等网络参数,简化了用户网络设置,提高了管理效率。但在 DHCP 管理使用上也存在着一些另网管人员比较问题,常见的有:
  • DHCP server 的冒充。
  • DHCP server  Dos 攻击。
  • 有些用户随便指定地址,造成网络地址冲突。
  由于 DHCP 的运作机制,通常服务器和客户端没有认证机制,如果网络上存在多台 DHCP 服务器将会给网络照成混乱。由于用户不小心配置了 DHCP 服务器引起的网络混乱非常常见,足可见故意人为破坏的简单性。通常黑客攻击是首先将正常的 DHCP 服务器所能分配的 IP 地址耗尽,然后冒充合法的 DHCP 服务器。最为隐蔽和危险的方法是黑客利用冒充的 DHCP 服务器,为用户分配一个经过修改的 DNS server ,在用户毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务网站,骗取用户帐户和密码,这种攻击是非常恶劣的。
  对于 DHCP server 冒充和Dos 攻击可以利用DHCP snooping、IPSG、DAI 技术有效防止。
 
 
任务一启用DHCP监听
步骤1:在交换AB上启用VLAN10DHCP监听。因为cisco ios DHCP服务器不支持选项82,所以交换机AB将禁用选项82的标记:// 82的标记----中继代理选项.
     SwitchA#configure terminal
     SwitchA(config)#ip dhcp snooping
     SwitchA(config)#ip dhcp snooping vlan 10
     SwitchA(config)#no ip dhcp snooping information
    
     SwitchB#configure terminal
     SwitchB(config)#ip dhcp snooping
     SwitchB(config)#ip dhcp snooping vlan 10
     SwitchB(config)#no ip dhcp snooping information
 
步骤2:在交换机A中,将与DHCP服务器相连接的接口配置为DHCP信任,在交换B中,将连接PC APC B的接口配置为DHCP非信任。此外,上行链路接口需要配置为DHCP监听信任.
SwitchA(config)#interface g 3/18
SwitchA(config-if)#ip dhcp snooping trust
SwitchA(config)#interface g3/18
SwitchA(config-if)#ip dhcp snooping trust
 SwitchB(config)#interface f3/7
SwitchB(config-if)#no ip dhcp snooping trust
 SwitchB(config)#interface f3/17
SwitchB(config-if)#no ip dhcp snooping trust
SwitchB(config)#interface g1/1
SwitchB(config-if)#ip dhcp snooping trust
步骤3: 在与PC APC B相连接的终端用户上配置IP源防护,以次实现验证IP地址的目的:
 SwitchB(config-if)#interface fa 3/7
 SwitchB(config-if)#ip verity source vlan dhcp-snooping
 SwitchB(config-if)#interface fa 3/17
 SwitchB(config-if)#ip verity source vlan dhcp-snooping
步骤4:配置DHCP服务器的静态IP源绑定,其在交换机A上的IP地址是10.10.1.101
SwitchA(config)#ip source binding 000a.4172.df7f vlan 10 10.10.1.101
步骤5:在交换机上AB中配置VLAN10DAI
SwitchA(config)#ip arp inspection vlan 10
SwitchB(config)#ip arp inspection vlan 10
步骤6:在交换机AB中配置上行链路为DAI信任接口
SwitchA(config)#interface g 1/1
SwitchA(config-if)#ip arp inspection trust
 
SwitchB(config)#interface g 1/1
SwitchB(config-if)#ip arp inspection trust
 
任务二验证DHCP监听,IPSGDAI状态
步骤1:在交换机A和交换B中验证DHCP监听状态和绑定表.
SwitchA#show ip dhcp snooping
 
步骤2:在交换机A和交换B中验证ip源防护绑定和状态:
SwitchA#show ip source binding
 
步骤3:在交换机A和交换B中验证DAI状态和统计信息:
SwitchA#show ip arp inspection
 
 
 
 
 
 
 
     本文转自hexianguo 51CTO博客,原文链接:http://blog.51cto.com/xghe110/88740,如需转载请自行联系原作者
                                                                                                            
                                                                                                            
 

相关文章
|
1月前
|
安全 物联网 物联网安全
量子通信网络:安全信息交换的新平台
【10月更文挑战第6天】量子通信网络作为一种全新的安全信息交换平台,正逐步展现出其独特的优势和巨大的潜力。通过深入研究和不断探索,我们有理由相信,量子通信网络将成为未来信息安全领域的重要支柱,为构建更加安全、高效、可靠的信息社会贡献力量。让我们共同期待量子通信网络在未来的广泛应用和美好前景!
|
8天前
|
存储 网络协议 安全
30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场
本文精选了 30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场。
25 2
|
10天前
|
网络协议 网络安全 数据安全/隐私保护
计算机网络概念:网关,DHCP,IP寻址,ARP欺骗,路由,DDOS等
计算机网络概念:网关,DHCP,IP寻址,ARP欺骗,路由,DDOS等
33 4
|
20天前
|
网络协议 网络安全 数据安全/隐私保护
计算机网络概念:网关,DHCP,IP寻址,ARP欺骗,路由,DDOS等
【10月更文挑战第27天】计算机主机网关的作用类似于小区传达室的李大爷,负责将内部网络的请求转发到外部网络。当小区内的小不点想与外面的小明通话时,必须通过李大爷(网关)进行联系。网关不仅帮助内部设备与外部通信,还负责路由选择,确保数据包高效传输。此外,网关还参与路由表的维护和更新,确保网络路径的准确性。
42 2
|
1月前
|
网络协议 网络虚拟化 网络架构
【网络实验】/主机/路由器/交换机/网关/路由协议/RIP+OSPF/DHCP(上)
【网络实验】/主机/路由器/交换机/网关/路由协议/RIP+OSPF/DHCP(上)
64 1
|
1月前
|
网络协议 数据安全/隐私保护 网络虚拟化
【网络实验】/主机/路由器/交换机/网关/路由协议/RIP+OSPF/DHCP(下)
【网络实验】/主机/路由器/交换机/网关/路由协议/RIP+OSPF/DHCP(下)
59 0
|
3月前
|
网络协议
|
4月前
|
运维 网络协议 网络安全
2023网络建设与运维正式赛卷-交换配置
【7月更文挑战第3天】某集团构建了两地三中心网络架构,包括两个数据中心和异地灾备中心,使用OSPF、RIP、ISIS、BGP协议互联。核心设备包括SW1、SW2(数据中心)、SW3(灾备及办事处),以及FW1(总司防火墙)、FW2(办事处防火墙)等。网络拓扑涉及多个VLAN和IP地址段,SW3配置了VRF隔离办事处和Internet流量。SW1配置SNMPv3用于监控,并设置流量镜像。链路故障检测和LLDP启用以确保网络健康。
|
4月前
|
测试技术 API Android开发
autox.js如何监听异常情况,比如网络中断、内存慢、应用死机或者页面无响应
autox.js如何监听异常情况,比如网络中断、内存慢、应用死机或者页面无响应
|
4月前
|
运维 网络协议 网络安全
2023网络建设与运维正式赛卷-交换配置-上
【7月更文挑战第2天】该集团进行数字化转型,构建了两地三中心网络架构,包括两个数据中心和一个异地灾备中心。网络使用OSPF、RIP、ISIS、BGP协议互联,并设有多台交换机、路由器、防火墙和无线控制器。例如,SW1和SW2为核心交换机,SW3为灾备DC的核心交换机,FW1为总公司防火墙,FW2为办事处防火墙,RT1和RT2为路由器,AC1为有线无线控制器。配置中涉及VLAN隔离、端口访问控制、LACP聚合、负载均衡和IPSec VPN,以确保网络稳定性、安全性和可扩展性。已完成的配置需通过客户端测试验证功能正常。
下一篇
无影云桌面