使用DHCP监听、IPSG和DAI实现Cisco多层交换网络的安全

简介:
 
采用 DHCP server 可以自动为用户设置网络 IP 地址、掩码、网关、 DNS  WINS 等网络参数,简化了用户网络设置,提高了管理效率。但在 DHCP 管理使用上也存在着一些另网管人员比较问题,常见的有:
  • DHCP server 的冒充。
  • DHCP server  Dos 攻击。
  • 有些用户随便指定地址,造成网络地址冲突。
  由于 DHCP 的运作机制,通常服务器和客户端没有认证机制,如果网络上存在多台 DHCP 服务器将会给网络照成混乱。由于用户不小心配置了 DHCP 服务器引起的网络混乱非常常见,足可见故意人为破坏的简单性。通常黑客攻击是首先将正常的 DHCP 服务器所能分配的 IP 地址耗尽,然后冒充合法的 DHCP 服务器。最为隐蔽和危险的方法是黑客利用冒充的 DHCP 服务器,为用户分配一个经过修改的 DNS server ,在用户毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务网站,骗取用户帐户和密码,这种攻击是非常恶劣的。
  对于 DHCP server 冒充和Dos 攻击可以利用DHCP snooping、IPSG、DAI 技术有效防止。
 
 
任务一启用DHCP监听
步骤1:在交换AB上启用VLAN10DHCP监听。因为cisco ios DHCP服务器不支持选项82,所以交换机AB将禁用选项82的标记:// 82的标记----中继代理选项.
     SwitchA#configure terminal
     SwitchA(config)#ip dhcp snooping
     SwitchA(config)#ip dhcp snooping vlan 10
     SwitchA(config)#no ip dhcp snooping information
    
     SwitchB#configure terminal
     SwitchB(config)#ip dhcp snooping
     SwitchB(config)#ip dhcp snooping vlan 10
     SwitchB(config)#no ip dhcp snooping information
 
步骤2:在交换机A中,将与DHCP服务器相连接的接口配置为DHCP信任,在交换B中,将连接PC APC B的接口配置为DHCP非信任。此外,上行链路接口需要配置为DHCP监听信任.
SwitchA(config)#interface g 3/18
SwitchA(config-if)#ip dhcp snooping trust
SwitchA(config)#interface g3/18
SwitchA(config-if)#ip dhcp snooping trust
 SwitchB(config)#interface f3/7
SwitchB(config-if)#no ip dhcp snooping trust
 SwitchB(config)#interface f3/17
SwitchB(config-if)#no ip dhcp snooping trust
SwitchB(config)#interface g1/1
SwitchB(config-if)#ip dhcp snooping trust
步骤3: 在与PC APC B相连接的终端用户上配置IP源防护,以次实现验证IP地址的目的:
 SwitchB(config-if)#interface fa 3/7
 SwitchB(config-if)#ip verity source vlan dhcp-snooping
 SwitchB(config-if)#interface fa 3/17
 SwitchB(config-if)#ip verity source vlan dhcp-snooping
步骤4:配置DHCP服务器的静态IP源绑定,其在交换机A上的IP地址是10.10.1.101
SwitchA(config)#ip source binding 000a.4172.df7f vlan 10 10.10.1.101
步骤5:在交换机上AB中配置VLAN10DAI
SwitchA(config)#ip arp inspection vlan 10
SwitchB(config)#ip arp inspection vlan 10
步骤6:在交换机AB中配置上行链路为DAI信任接口
SwitchA(config)#interface g 1/1
SwitchA(config-if)#ip arp inspection trust
 
SwitchB(config)#interface g 1/1
SwitchB(config-if)#ip arp inspection trust
 
任务二验证DHCP监听,IPSGDAI状态
步骤1:在交换机A和交换B中验证DHCP监听状态和绑定表.
SwitchA#show ip dhcp snooping
 
步骤2:在交换机A和交换B中验证ip源防护绑定和状态:
SwitchA#show ip source binding
 
步骤3:在交换机A和交换B中验证DAI状态和统计信息:
SwitchA#show ip arp inspection
 
 
 
 
 
 
 
     本文转自hexianguo 51CTO博客,原文链接:http://blog.51cto.com/xghe110/88740,如需转载请自行联系原作者
                                                                                                            
                                                                                                            
 

相关文章
|
24天前
|
存储 安全 5G
|
6天前
|
网络协议 网络安全 数据安全/隐私保护
计算机网络概念:网关,DHCP,IP寻址,ARP欺骗,路由,DDOS等
【10月更文挑战第27天】计算机主机网关的作用类似于小区传达室的李大爷,负责将内部网络的请求转发到外部网络。当小区内的小不点想与外面的小明通话时,必须通过李大爷(网关)进行联系。网关不仅帮助内部设备与外部通信,还负责路由选择,确保数据包高效传输。此外,网关还参与路由表的维护和更新,确保网络路径的准确性。
23 2
|
8天前
|
编解码 安全 Linux
网络空间安全之一个WH的超前沿全栈技术深入学习之路(10-2):保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali——Liinux-Debian:就怕你学成黑客啦!)作者——LJS
保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali以及常见的报错及对应解决方案、常用Kali功能简便化以及详解如何具体实现
|
8天前
|
安全 网络协议 算法
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-1):主动信息收集之ping、Nmap 就怕你学成黑客啦!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-1):主动信息收集之ping、Nmap 就怕你学成黑客啦!
|
8天前
|
网络协议 安全 NoSQL
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-2):scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练、就怕你学成黑客啦!
scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-2):scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练、就怕你学成黑客啦!
|
8天前
|
网络协议 安全 算法
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
实战:WireShark 抓包及快速定位数据包技巧、使用 WireShark 对常用协议抓包并分析原理 、WireShark 抓包解决服务器被黑上不了网等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
|
13天前
|
SQL 安全 网络安全
网络防线的守护者:深入网络安全与信息安全的世界
【10月更文挑战第20天】在数字时代的海洋中,网络安全和信息安全是保护我们免受信息泄露、数据窃取和隐私侵犯的重要屏障。本文将带领读者探索网络安全漏洞的成因,加密技术如何成为我们的盾牌,以及安全意识在抵御网络攻击中的核心作用。通过深入浅出的解释和生动的案例分析,我们将一起学习如何加强个人和组织的网络防御,确保数字世界的安全。
13 4
|
15天前
|
安全 物联网 网络安全
中小企业提高网络安全的五种方式
【10月更文挑战第18天】中小企业提高网络安全的五种方式:1. 小企业并非免疫;2. 定期更新软件和硬件;3. 持续教育员工;4. 启用并维护安全功能;5. 制定全面的网络安全策略。天下数据IDC提供专业的服务器解决方案及数据中心安全服务,保障企业信息安全。
24 1
|
25天前
|
网络协议 安全 网络安全
Cisco-网络端口地址转换NAPT配置
Cisco-网络端口地址转换NAPT配置