应用场景

无线客户端流动性很大和不确定,比如在外来人员比较多的地方:广场、大厅、会议室和接待室等等。使用该方案可以有效地避免因为无线端出现私设IP地址导致地址冲突或者客户端中ARP病毒发起ARP攻击的情况。

优点:增加无线的安全性,防止无线客户端私设IP地址,防止无线网络因为arp攻击而瘫痪。

缺点:对无线设备的性能要求高,需要消耗无线设备的运行资源,需要增加额外的配置

功能简介:

在无线网络中,由于接入无线网络用户的多样性及不确定性,使得在无线端极有可能出现私设IP地址或者客户端中ARP病毒发起ARP攻击的情况,在无线设备上部署防ARP攻击功能,可以有效解决这些问题。

一、组网需求

防止无线用户私自配置IP地址导致IP地址冲突或者使用ARP攻击软件导致网络瘫痪

二、组网拓扑

三、配置要点

1、AC-1开启dhcp snooping并且配置信任端口

2、配置ARP防护功能

3、清除arp及 proxy_arp表

四、配置步骤 

1、AC-1开启dhcp snooping并且配置信任端口

AC-1(config)#ip dhcp snooping ----->全局启用dhcp snooping

AC-1(config)#interface gigabitEthernet 0/1

AC-1(config-if-GigabitEthernet 0/1)#ip dhcp snooping trust ----->上联接口配置为信任端口

 

2、配置ARP防护功能

1)未开启Web认证功能时

AC-1(config)#wlansec 1

AC-1(config-wlansec)#ip verify source port-security ----->开启IP防护功能

AC-1(config-wlansec)#arp-check ----->开启ARP检测功能

2)开启Web认证功能时

AC-1(config)#web-auth dhcp-check ----->开启web认证下的dhcp检测功能(IP防护功能类似)

AC-1(config)#wlansec 1

AC-1(config-wlansec)#arp-check ----->ARP检测功能

3、清除arp及 proxy_arp表

AC-1#clear arp-cache

AC-1#clear proxy_arp

五、注意事项

1.   打开ARP Check检测功能可能会使相关安全应用的策略数/用户数减少。

2.   无法在镜像的目的口上配置arp-check功能。

3.   无法在DHCP Snooping信任端口上配置ARP Check功能。

4.   无法在全局IP+MAC的例外口配置ARP Check功能。

六、功能验证

1、无线用户连接到无线网络通过dhcp获取到IP地址被添加到dhcp snooping数据库内。

Ruijie#show ip dhcp snooping binding

Total number of bindings: 1

NO.     MACADDRESS      IPADDRESS   LEASE(SEC)  TYPE                    VLAN  INTERFACE

-----    -----------------   ------------   ------------  ----------------   ------  --------------

1          0811.9692.244C  172.16.1.4     86394          DHCP-Snooping  10       WLAN 1

2、手动配置无线网卡IP地址,无法ping通网关。

3、将无线网卡IP静态配置为其他正常用户的IP地址,其他正常用户不会提示地址冲突。

dhcp snooping、ARP防护、的更多相关文章

  1. Cisco DHCP Snooping + IPSG 功能实现

    什么是DHCP? DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,前身是BOOTP协议, 使用UDP协议工作,常用的2个端口 ...

  2. DHCP Snooping的实现

    DHCP Snooping的实现 DHCP Snooping的实现 主要作用:1.防止在动态获得IP地址的网络环境中用户手动配置PC的IP地址;2.防止A用户的PC静态配置的IP地址顶掉B用户PC动态 ...

  3. (一)Cisco DHCP Snooping原理(转载)

    采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址.掩码.默认网关.DNS服务器等网络参数,简化了网络配置,提高了管理效率.但在DHCP服务的管理上存在一些问题,常见的有: ●D ...

  4. (五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)

    试验拓扑 环境:dhcp server和dhcp客户端属于同vlan,但是客户端属于不同的交换机,在L2和L3交换机开启dhcp snooping后得出如下结论 L3交换机的配置 ip dhcp po ...

  5. 端口安全 | DHCP snooping

    1.端口安全用于防止mac地址的欺骗.mac地址泛洪攻击.主要思想就是在交换机的端口下通过手工或者自动绑定mac地址,这就就只能是绑定的mac地址能够通过. 2.通过静态的端口绑定:将mac地址手工静 ...

  6. DHCP snooping

    DHCP snooping 技术介绍   DHCP监听(DHCP Snooping)是一种DHCP安全特性.Cisco交换机支持在每个VLAN基础上启用DHCP监听特性.通过这种特性,交换机能够拦截第 ...

  7. Zyxel Switch-How to block a fake DHCP server without enabling DHCP snooping?

    How to block a fake DHCP server without enabling DHCP snooping? Scenario How to block a fake DHCP se ...

  8. h3c dhcp snooping

    1. 组网需求Switch B通过以太网端口Ethernet1/1连接到DHCP服务器,通过以太网端口Ethernet1/2.Ethernet1/3连接到DHCP客户端.要求:l与DHCP服务器相连的 ...

  9. DHCP snooping(DHCP监听)

    DHCP监听可以防范利用DHCP发起的多种攻击行为,如DHCP中间人攻击,伪造多台设备耗尽地址池 DHCP监听允许可信端口上的所有DHCP消息,但是却过滤非可信端口上的DHCP消息,DHCP监听还会在 ...

随机推荐

  1. 戴尔服务器使用omreport(OMSA)查看监控硬件信息

    安装OMSA wget -q -O - http://linux.dell.com/repo/hardware/latest/bootstrap.cgi | bash yum install -y n ...

  2. keras安装配置指南【linux环境】【转】

    本文转载自:https://keras-cn.readthedocs.io/en/latest/for_beginners/keras_linux/#kerasmnist 本教程不得用于任何形式的商业 ...

  3. python安装包下载慢的问题 | Python

    复制链接,打开迅雷就开始下载了.

  4. 翻翻git之---可用作课程表/排班表的自定义table库ScrollTableView

    转载请注明出处:王亟亟的大牛之路 最近一直在写混合开发的东西,是时候温故下native的了. 一年多之前领导提了一个双性滚动+快点击的"TableView"那时候自己整了2 3天没 ...

  5. Union 和Union all的区别

    Union:对两个结果集进行并集操作,不包括重复行,同时进行默认规则的排序: Union All:对两个结果集进行并集操作,包括重复行,不进行排序: 例如: select employee_id,jo ...

  6. Examining the Rooms - 第一类斯特灵数

    ---恢复内容开始--- 2017-08-10 20:32:37 writer:pprp 题意如下: Recently in Teddy's hometown there is a competiti ...

  7. Vuex最基本样例

    通过vue-cli建立基本脚手架(需要安装vuex),需要新建一个store.js文件.基本目录如下 1,store.js文件代码: import Vue from 'vue' import Vuex ...

  8. centos mysql忘记密码

    1.停止mysql 服务:service mysqld stop; 2.vim命令打开mysql配置文件my.cnf(位置一般为:/etc/my.cnf) 3.在mysqld进程配置文件中添加skip ...

  9. angular 当使用ng-repeat 时出现 $$hashKey的键值对

    小问题 把: ng-repeat="item in items " 改成 : ng-repeat="item in items track by $index"

  10. Python模块学习之解决selenium的“can't access dead object”错误

    问题描述 在python执行过程中,提示selenium.common.exceptions.WebDriverException: Message: TypeError: can't access ...