1、端口安全用于防止mac地址的欺骗、mac地址泛洪攻击。主要思想就是在交换机的端口下通过手工或者自动绑定mac地址,这就就只能是绑定的mac地址能够通过。

2、通过静态的端口绑定:将mac地址手工静态的绑定到相应的交换机的接口下。

sw(config)#mac-address-table static 0001.0001.0001 interface f0/2 vlan 1  //该接口属于vlan 1

3、端口安全方式:

①设置端口安全的一些属性:

(config)#int f0/1

(config-if)#switchport port-security maximum 1 可以允许此接口学习1个MAC,默认是最多只能学习一个mac地址,可按需修改。

(config-if)#switchport port-security violation ?     //当违规时所执行的动作,一共有三个。

  protect   Security violation protect mode  // 丢弃、告警,告警日志通过syslog产生的

  restrict   Security violation restrict mode  //无声丢弃

  shutdown  Security violation shutdown mode  //默认的违规行为err-disable

②开启端口安全:

sw-3550(config)#int f0/1

sw-3550(config-if)#switchport mode access  //必须指定一个模式

sw-3550(config-if)#switchport port-security  //开启端口安全

sw-3550(config-if)#exit

③可以在端口安全下开启静态端口绑定:

端口安全下MAC地址绑定:配置这条命令先把端口关闭情况下配置

(config)#int f0/1

(config-if)#switchport port-security mac-address 0001.0001.0001

(config-if)#switchport port-security  //强制指定此接口连接的PC的MAC地址为0001.0001.0001,效果与手工静态绑定一致,就是多了一个违规后的动作。

④可以把动态学习到的mac转为端口绑定地址,这个常用:

//把动态学习的MAC地址做一个静态映射,且没有老化时间概念,也就意味着这个接口以后只能连接特定PC,除非在交换机上面做相对应修改:

sw-3550(config)#in f0/1

sw-3550(config-if)#switchport port-security mac-address sticky

sw-3550(config-if)#switchport port-security

sw-3550(config-if)#exit

4、DHCP snooping:可以防御DHCP攻击,也可以防止端口欺骗、攻击、mac泛洪等攻击。主要思想就是DHCP snooping会生成一张扩展的mac表,这个表中记录了每一个接口下pc的详细信息,包括mac地址、接口、所属vlan、IP地址等信息,然后交换机就根据这张扩展的mac地址变进行检查过滤。

5、开启DHCP snooping之后交换机的所有接口就默认置为untrust状态,该状态下会自动拒绝接收offer和DHCP  ACK报文。这样攻击者就无法冒充DHCP服务器进行欺骗攻击了。将我们合法的DHCP服务器接口手动的置为trust状态即可。

6、开启DHCP snooping后的工作机制:

①可以在接口下针对DHCP报文进行限速,防御黑客利用DHCP报文进行广播泛洪攻击。

②检查从PC收到的DHCP报文,如果PC发送的DHCP报文含有option 82的话则丢弃此报文,因为只有交换机采用权限在DHCP报文里面插入option 82选项(交换机还会在discover报文里面插入对应VLAN的gateway ip地址)。option82选项是交换机插入的,选项里面含有该接口所属vlan的网关IP地址。

③还能检测是否该pc恶意的替其他的pc退租。

DHCP snooping配置:

3550(config)#ip dhcp snooping  //全局开启

3550(config)#ip dhcp snooping vlan 100 //VLAN100启用

sw-3550(config)#int f0/2

sw-3550(config-if)#ip dhcp snooping trust  //将DHCP服务器的接口置为信任接口

sw-3550(config-if)#exit

//当时两个交换机时,需要处理option 82选项

sw-3550(config)#no ip dhcp snooping information option

//进行DHCP报文的限速,防止泛洪攻击

sw-3550(config)#int f0/6

sw-3550(config-if)#ip dhcp snooping limit rate 10

sw-3550(config-if)#exit

//基于源MAC和源IP地址的过滤

Ip dhcp snooping

Ip dhcp snooping vlan 10

ip source binding 0001.0001.0001 vlan 10 192.168.1.101 interface Fa0/7 //手工写的一条扩展的mac表

Int f0/7

 Switchport port-security

 Ip verity source port-secuity

 Exit

//对从F0/7接口进入的报文,根据源IP地址和源MAC地址进行认证审查,是否满足扩展的CAM表

//说明:当网络中有DHCO服务器的时候,那么开启DHCP snooping的交换机就会自动的生成一张扩展的mac表,不需要手工写。
DHCP snooping用来做端口安全、防止端口攻击、泛洪攻击的本质就是利用mac扩展表。

⑦DHCP snooping也可以用来防御arp攻击:原理就是限制arp在一定时间内的数量以及根据mac扩展表过滤非法的arp包。

配置:

ip dhcp snooping

ip dhcp snooping vlan 10

ip arp inspextion vlan 10  //在vlan10里面使用扩展的mac表监控arp报文是否合法。

ip dhcp snooping limit 15  //限制arp包每秒发送的数量。

端口安全 | DHCP snooping的更多相关文章

  1. DHCP snooping

    DHCP snooping 技术介绍   DHCP监听(DHCP Snooping)是一种DHCP安全特性.Cisco交换机支持在每个VLAN基础上启用DHCP监听特性.通过这种特性,交换机能够拦截第 ...

  2. h3c dhcp snooping

    1. 组网需求Switch B通过以太网端口Ethernet1/1连接到DHCP服务器,通过以太网端口Ethernet1/2.Ethernet1/3连接到DHCP客户端.要求:l与DHCP服务器相连的 ...

  3. Cisco DHCP Snooping + IPSG 功能实现

    什么是DHCP? DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,前身是BOOTP协议, 使用UDP协议工作,常用的2个端口 ...

  4. dhcp snooping、ARP防护、

    应用场景 无线客户端流动性很大和不确定,比如在外来人员比较多的地方:广场.大厅.会议室和接待室等等.使用该方案可以有效地避免因为无线端出现私设IP地址导致地址冲突或者客户端中ARP病毒发起ARP攻击的 ...

  5. DHCP snooping(DHCP监听)

    DHCP监听可以防范利用DHCP发起的多种攻击行为,如DHCP中间人攻击,伪造多台设备耗尽地址池 DHCP监听允许可信端口上的所有DHCP消息,但是却过滤非可信端口上的DHCP消息,DHCP监听还会在 ...

  6. DHCP Snooping的实现

    DHCP Snooping的实现 DHCP Snooping的实现 主要作用:1.防止在动态获得IP地址的网络环境中用户手动配置PC的IP地址;2.防止A用户的PC静态配置的IP地址顶掉B用户PC动态 ...

  7. (五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)

    试验拓扑 环境:dhcp server和dhcp客户端属于同vlan,但是客户端属于不同的交换机,在L2和L3交换机开启dhcp snooping后得出如下结论 L3交换机的配置 ip dhcp po ...

  8. (一)Cisco DHCP Snooping原理(转载)

    采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址.掩码.默认网关.DNS服务器等网络参数,简化了网络配置,提高了管理效率.但在DHCP服务的管理上存在一些问题,常见的有: ●D ...

  9. (二)Cisco dhcp snooping配置解释

    #配置dhcp snooping相关命令 Switch(config)#ip dhcp snooping  //打开DHCP Snooping功能Switch(config)#ip dhcp snoo ...

随机推荐

  1. 前缀和与差分(Acwing795-798)

    一维前缀和 Acwing795.前缀和 #include <iostream> using namespace std; const int N = 100010; int n, m; i ...

  2. SAP 查看在线用户

    SM04 可查看服务器全部客户端(Client)的用户的在线状态,并可以结束指定用户的会话状态,也就是强制踢出用户.

  3. vue大型电商项目尚品汇(后台终结篇)day06 重磅!!!

    自此整个项目前后台,全部搭建完毕. 今天是最后一天,内容很多,而且也比较常用,一个图标类数据可视化,一个后台的权限管理,都是很经典的类型. 一.数据可视化 1.简介 专门的一门学科,有专门研究这个的岗 ...

  4. tomcat 的安全配置预防后台被攻击

    安全是系统架构中最重要的关注点之一,通常情况下,所说的安全涵盖网络安全.数据安全.操作系统安全.服务器安全以及应用系统安全等诸多方面. Tomcat 是一个免费的开放源代码 的Web应用服务器,技术先 ...

  5. Vue模板解析

    mustcache 什么是模板引擎 模板引擎是将数据变为视图的最优雅的解决方案 数据 [ {"name":"小明","age":12,&qu ...

  6. Python实现哈希表(分离链接法)

    一.python实现哈希表 只使用list,构建简单的哈希表(字典对象) # 不使用字典构造的分离连接法版哈希表 class HashList(): """ Simple ...

  7. 【小程序自动化Minium】三、元素定位- WXSS 选择器的使用

    最近更新略疲,主要是业余时间多了几个变化.比如忙活自己的模拟赛车驾舱升级.还跟朋友筹备一个小程序项目.另外早上的时间留给背单词了... 上一章中讲到Page接口的get_element()与get_e ...

  8. NOI / 2.1基本算法之枚举2673:比赛排名

    总时间限制: 1000ms 内存限制: 65536kB 描述 5名运动员参加100米赛跑,各自对比赛结果进行了预测: A说:E是第1名. B说:我是第2名. C说:A肯定垫底. D说:C肯定拿不了第1 ...

  9. 编译式安装PHP

    yum install -y curl curl-devel libxslt-devel*   --prefix是编译安装后的目录  --enable-fpm是为了支持nginx /configure ...

  10. 技术分享 | 为什么MGR一致性模式不推荐AFTER

    GreatSQL社区原创内容未经授权不得随意使用,转载请联系小编并注明来源. 1.引子 2.AFTER 的写一致性 3.AFTER 的读一致性 4.AFTER 执行流程 5.BEFORE 执行流程 6 ...