1、端口安全用于防止mac地址的欺骗、mac地址泛洪攻击。主要思想就是在交换机的端口下通过手工或者自动绑定mac地址,这就就只能是绑定的mac地址能够通过。

2、通过静态的端口绑定:将mac地址手工静态的绑定到相应的交换机的接口下。

sw(config)#mac-address-table static 0001.0001.0001 interface f0/2 vlan 1  //该接口属于vlan 1

3、端口安全方式:

①设置端口安全的一些属性:

(config)#int f0/1

(config-if)#switchport port-security maximum 1 可以允许此接口学习1个MAC,默认是最多只能学习一个mac地址,可按需修改。

(config-if)#switchport port-security violation ?     //当违规时所执行的动作,一共有三个。

  protect   Security violation protect mode  // 丢弃、告警,告警日志通过syslog产生的

  restrict   Security violation restrict mode  //无声丢弃

  shutdown  Security violation shutdown mode  //默认的违规行为err-disable

②开启端口安全:

sw-3550(config)#int f0/1

sw-3550(config-if)#switchport mode access  //必须指定一个模式

sw-3550(config-if)#switchport port-security  //开启端口安全

sw-3550(config-if)#exit

③可以在端口安全下开启静态端口绑定:

端口安全下MAC地址绑定:配置这条命令先把端口关闭情况下配置

(config)#int f0/1

(config-if)#switchport port-security mac-address 0001.0001.0001

(config-if)#switchport port-security  //强制指定此接口连接的PC的MAC地址为0001.0001.0001,效果与手工静态绑定一致,就是多了一个违规后的动作。

④可以把动态学习到的mac转为端口绑定地址,这个常用:

//把动态学习的MAC地址做一个静态映射,且没有老化时间概念,也就意味着这个接口以后只能连接特定PC,除非在交换机上面做相对应修改:

sw-3550(config)#in f0/1

sw-3550(config-if)#switchport port-security mac-address sticky

sw-3550(config-if)#switchport port-security

sw-3550(config-if)#exit

4、DHCP snooping:可以防御DHCP攻击,也可以防止端口欺骗、攻击、mac泛洪等攻击。主要思想就是DHCP snooping会生成一张扩展的mac表,这个表中记录了每一个接口下pc的详细信息,包括mac地址、接口、所属vlan、IP地址等信息,然后交换机就根据这张扩展的mac地址变进行检查过滤。

5、开启DHCP snooping之后交换机的所有接口就默认置为untrust状态,该状态下会自动拒绝接收offer和DHCP  ACK报文。这样攻击者就无法冒充DHCP服务器进行欺骗攻击了。将我们合法的DHCP服务器接口手动的置为trust状态即可。

6、开启DHCP snooping后的工作机制:

①可以在接口下针对DHCP报文进行限速,防御黑客利用DHCP报文进行广播泛洪攻击。

②检查从PC收到的DHCP报文,如果PC发送的DHCP报文含有option 82的话则丢弃此报文,因为只有交换机采用权限在DHCP报文里面插入option 82选项(交换机还会在discover报文里面插入对应VLAN的gateway ip地址)。option82选项是交换机插入的,选项里面含有该接口所属vlan的网关IP地址。

③还能检测是否该pc恶意的替其他的pc退租。

DHCP snooping配置:

3550(config)#ip dhcp snooping  //全局开启

3550(config)#ip dhcp snooping vlan 100 //VLAN100启用

sw-3550(config)#int f0/2

sw-3550(config-if)#ip dhcp snooping trust  //将DHCP服务器的接口置为信任接口

sw-3550(config-if)#exit

//当时两个交换机时,需要处理option 82选项

sw-3550(config)#no ip dhcp snooping information option

//进行DHCP报文的限速,防止泛洪攻击

sw-3550(config)#int f0/6

sw-3550(config-if)#ip dhcp snooping limit rate 10

sw-3550(config-if)#exit

//基于源MAC和源IP地址的过滤

Ip dhcp snooping

Ip dhcp snooping vlan 10

ip source binding 0001.0001.0001 vlan 10 192.168.1.101 interface Fa0/7 //手工写的一条扩展的mac表

Int f0/7

 Switchport port-security

 Ip verity source port-secuity

 Exit

//对从F0/7接口进入的报文,根据源IP地址和源MAC地址进行认证审查,是否满足扩展的CAM表

//说明:当网络中有DHCO服务器的时候,那么开启DHCP snooping的交换机就会自动的生成一张扩展的mac表,不需要手工写。
DHCP snooping用来做端口安全、防止端口攻击、泛洪攻击的本质就是利用mac扩展表。

⑦DHCP snooping也可以用来防御arp攻击:原理就是限制arp在一定时间内的数量以及根据mac扩展表过滤非法的arp包。

配置:

ip dhcp snooping

ip dhcp snooping vlan 10

ip arp inspextion vlan 10  //在vlan10里面使用扩展的mac表监控arp报文是否合法。

ip dhcp snooping limit 15  //限制arp包每秒发送的数量。

端口安全 | DHCP snooping的更多相关文章

  1. DHCP snooping

    DHCP snooping 技术介绍   DHCP监听(DHCP Snooping)是一种DHCP安全特性.Cisco交换机支持在每个VLAN基础上启用DHCP监听特性.通过这种特性,交换机能够拦截第 ...

  2. h3c dhcp snooping

    1. 组网需求Switch B通过以太网端口Ethernet1/1连接到DHCP服务器,通过以太网端口Ethernet1/2.Ethernet1/3连接到DHCP客户端.要求:l与DHCP服务器相连的 ...

  3. Cisco DHCP Snooping + IPSG 功能实现

    什么是DHCP? DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,前身是BOOTP协议, 使用UDP协议工作,常用的2个端口 ...

  4. dhcp snooping、ARP防护、

    应用场景 无线客户端流动性很大和不确定,比如在外来人员比较多的地方:广场.大厅.会议室和接待室等等.使用该方案可以有效地避免因为无线端出现私设IP地址导致地址冲突或者客户端中ARP病毒发起ARP攻击的 ...

  5. DHCP snooping(DHCP监听)

    DHCP监听可以防范利用DHCP发起的多种攻击行为,如DHCP中间人攻击,伪造多台设备耗尽地址池 DHCP监听允许可信端口上的所有DHCP消息,但是却过滤非可信端口上的DHCP消息,DHCP监听还会在 ...

  6. DHCP Snooping的实现

    DHCP Snooping的实现 DHCP Snooping的实现 主要作用:1.防止在动态获得IP地址的网络环境中用户手动配置PC的IP地址;2.防止A用户的PC静态配置的IP地址顶掉B用户PC动态 ...

  7. (五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)

    试验拓扑 环境:dhcp server和dhcp客户端属于同vlan,但是客户端属于不同的交换机,在L2和L3交换机开启dhcp snooping后得出如下结论 L3交换机的配置 ip dhcp po ...

  8. (一)Cisco DHCP Snooping原理(转载)

    采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址.掩码.默认网关.DNS服务器等网络参数,简化了网络配置,提高了管理效率.但在DHCP服务的管理上存在一些问题,常见的有: ●D ...

  9. (二)Cisco dhcp snooping配置解释

    #配置dhcp snooping相关命令 Switch(config)#ip dhcp snooping  //打开DHCP Snooping功能Switch(config)#ip dhcp snoo ...

随机推荐

  1. alertmanager集群莫名发送resolve消息的问题探究

    alertmanager集群莫名发送resolve消息的问题探究 术语 告警消息:指一条告警 告警恢复消息:指一条告警恢复 告警信息:指告警相关的内容,包括告警消息和告警恢复消息 问题描述 最近遇到了 ...

  2. tail -f 、tail -F、tailf的区别

    三者经常在工作中会使用到,以下是三条命令的区别,帮忙大家理解:1.tail -f 等同于--follow=descriptor,根据文件描述符进行追踪,当文件改名或被删除,追踪停止,但是不是断开. 2 ...

  3. Codeforces Round #801 (Div. 2)

    题集链接 A Subrectangle Guess 代码 #include <bits/stdc++.h> #define endl "\n" using namesp ...

  4. 【Nim 游戏】 学习笔记

    前言 没脑子选手随便一道博弈论都不会 -- 正文 Nim 游戏引入 这里给出最简单的 \(Nim\) 游戏的题目描述: \(Nim\) 游戏 有两个顶尖聪明的人在玩游戏,游戏规则是这样的: 有\(n\ ...

  5. centos系统管理高级篇

    1 enable virtual box 控制 - 关机 可以通过虚拟机的关机按钮执行关机,而不是登陆centos再执行init 0 首先,安装acpid包 如果你的centos已经安装这个包,就省略 ...

  6. SpringMVC-02

    一.SSM整合[重点] 1 SSM整合配置 问题导入 请描述"SSM整合流程"中各个配置类的作用? 1.1 SSM整合流程 创建工程 SSM整合 Spring SpringConf ...

  7. 记一道经典树上Nim游戏

    这道题首先是 Hanriver 提出来的,但是大家都不会做,今天看到了一道一模一样的题目 AT2667 题目大意是,每个人删掉一个不是整棵树的原树的子树,给定一个树问游戏状态. 首先,这是需要用到多个 ...

  8. MQ系列2:消息中间件的技术选型

    1 背景 在高并发.高消息吞吐的互联网场景中,我们经常会使用消息队列(Message Queue)作为基础设施,在服务端架构中担当消息中转.消息削峰.事务异步处理 等职能. 对于那些不需要实时响应的的 ...

  9. Solution -「最大权闭合子图」做题随笔

    T1 小 M 的作物 先从简化题目入手,考虑先去掉 \(c\) 的额外收益.然后尝试将所有作物种在 \(B\), 则目前得到了 \(\sum \limits_{i = 1} ^n b_i\) 的收益. ...

  10. 二叉排序树的合并(严3.98)--------西工大noj

    二叉排序树的合并有三种方法 先存入数组,然后..... 直接在第二个树上添加第一个数的元素,时间复杂度为O(NlogN) 就像是合并数组一样合并二叉排序树,分别扫描,时间复杂度极低. 第三种我写了一下 ...