1、端口安全用于防止mac地址的欺骗、mac地址泛洪攻击。主要思想就是在交换机的端口下通过手工或者自动绑定mac地址,这就就只能是绑定的mac地址能够通过。

2、通过静态的端口绑定:将mac地址手工静态的绑定到相应的交换机的接口下。

sw(config)#mac-address-table static 0001.0001.0001 interface f0/2 vlan 1  //该接口属于vlan 1

3、端口安全方式:

①设置端口安全的一些属性:

(config)#int f0/1

(config-if)#switchport port-security maximum 1 可以允许此接口学习1个MAC,默认是最多只能学习一个mac地址,可按需修改。

(config-if)#switchport port-security violation ?     //当违规时所执行的动作,一共有三个。

  protect   Security violation protect mode  // 丢弃、告警,告警日志通过syslog产生的

  restrict   Security violation restrict mode  //无声丢弃

  shutdown  Security violation shutdown mode  //默认的违规行为err-disable

②开启端口安全:

sw-3550(config)#int f0/1

sw-3550(config-if)#switchport mode access  //必须指定一个模式

sw-3550(config-if)#switchport port-security  //开启端口安全

sw-3550(config-if)#exit

③可以在端口安全下开启静态端口绑定:

端口安全下MAC地址绑定:配置这条命令先把端口关闭情况下配置

(config)#int f0/1

(config-if)#switchport port-security mac-address 0001.0001.0001

(config-if)#switchport port-security  //强制指定此接口连接的PC的MAC地址为0001.0001.0001,效果与手工静态绑定一致,就是多了一个违规后的动作。

④可以把动态学习到的mac转为端口绑定地址,这个常用:

//把动态学习的MAC地址做一个静态映射,且没有老化时间概念,也就意味着这个接口以后只能连接特定PC,除非在交换机上面做相对应修改:

sw-3550(config)#in f0/1

sw-3550(config-if)#switchport port-security mac-address sticky

sw-3550(config-if)#switchport port-security

sw-3550(config-if)#exit

4、DHCP snooping:可以防御DHCP攻击,也可以防止端口欺骗、攻击、mac泛洪等攻击。主要思想就是DHCP snooping会生成一张扩展的mac表,这个表中记录了每一个接口下pc的详细信息,包括mac地址、接口、所属vlan、IP地址等信息,然后交换机就根据这张扩展的mac地址变进行检查过滤。

5、开启DHCP snooping之后交换机的所有接口就默认置为untrust状态,该状态下会自动拒绝接收offer和DHCP  ACK报文。这样攻击者就无法冒充DHCP服务器进行欺骗攻击了。将我们合法的DHCP服务器接口手动的置为trust状态即可。

6、开启DHCP snooping后的工作机制:

①可以在接口下针对DHCP报文进行限速,防御黑客利用DHCP报文进行广播泛洪攻击。

②检查从PC收到的DHCP报文,如果PC发送的DHCP报文含有option 82的话则丢弃此报文,因为只有交换机采用权限在DHCP报文里面插入option 82选项(交换机还会在discover报文里面插入对应VLAN的gateway ip地址)。option82选项是交换机插入的,选项里面含有该接口所属vlan的网关IP地址。

③还能检测是否该pc恶意的替其他的pc退租。

DHCP snooping配置:

3550(config)#ip dhcp snooping  //全局开启

3550(config)#ip dhcp snooping vlan 100 //VLAN100启用

sw-3550(config)#int f0/2

sw-3550(config-if)#ip dhcp snooping trust  //将DHCP服务器的接口置为信任接口

sw-3550(config-if)#exit

//当时两个交换机时,需要处理option 82选项

sw-3550(config)#no ip dhcp snooping information option

//进行DHCP报文的限速,防止泛洪攻击

sw-3550(config)#int f0/6

sw-3550(config-if)#ip dhcp snooping limit rate 10

sw-3550(config-if)#exit

//基于源MAC和源IP地址的过滤

Ip dhcp snooping

Ip dhcp snooping vlan 10

ip source binding 0001.0001.0001 vlan 10 192.168.1.101 interface Fa0/7 //手工写的一条扩展的mac表

Int f0/7

 Switchport port-security

 Ip verity source port-secuity

 Exit

//对从F0/7接口进入的报文,根据源IP地址和源MAC地址进行认证审查,是否满足扩展的CAM表

//说明:当网络中有DHCO服务器的时候,那么开启DHCP snooping的交换机就会自动的生成一张扩展的mac表,不需要手工写。
DHCP snooping用来做端口安全、防止端口攻击、泛洪攻击的本质就是利用mac扩展表。

⑦DHCP snooping也可以用来防御arp攻击:原理就是限制arp在一定时间内的数量以及根据mac扩展表过滤非法的arp包。

配置:

ip dhcp snooping

ip dhcp snooping vlan 10

ip arp inspextion vlan 10  //在vlan10里面使用扩展的mac表监控arp报文是否合法。

ip dhcp snooping limit 15  //限制arp包每秒发送的数量。

端口安全 | DHCP snooping的更多相关文章

  1. DHCP snooping

    DHCP snooping 技术介绍   DHCP监听(DHCP Snooping)是一种DHCP安全特性.Cisco交换机支持在每个VLAN基础上启用DHCP监听特性.通过这种特性,交换机能够拦截第 ...

  2. h3c dhcp snooping

    1. 组网需求Switch B通过以太网端口Ethernet1/1连接到DHCP服务器,通过以太网端口Ethernet1/2.Ethernet1/3连接到DHCP客户端.要求:l与DHCP服务器相连的 ...

  3. Cisco DHCP Snooping + IPSG 功能实现

    什么是DHCP? DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,前身是BOOTP协议, 使用UDP协议工作,常用的2个端口 ...

  4. dhcp snooping、ARP防护、

    应用场景 无线客户端流动性很大和不确定,比如在外来人员比较多的地方:广场.大厅.会议室和接待室等等.使用该方案可以有效地避免因为无线端出现私设IP地址导致地址冲突或者客户端中ARP病毒发起ARP攻击的 ...

  5. DHCP snooping(DHCP监听)

    DHCP监听可以防范利用DHCP发起的多种攻击行为,如DHCP中间人攻击,伪造多台设备耗尽地址池 DHCP监听允许可信端口上的所有DHCP消息,但是却过滤非可信端口上的DHCP消息,DHCP监听还会在 ...

  6. DHCP Snooping的实现

    DHCP Snooping的实现 DHCP Snooping的实现 主要作用:1.防止在动态获得IP地址的网络环境中用户手动配置PC的IP地址;2.防止A用户的PC静态配置的IP地址顶掉B用户PC动态 ...

  7. (五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)

    试验拓扑 环境:dhcp server和dhcp客户端属于同vlan,但是客户端属于不同的交换机,在L2和L3交换机开启dhcp snooping后得出如下结论 L3交换机的配置 ip dhcp po ...

  8. (一)Cisco DHCP Snooping原理(转载)

    采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址.掩码.默认网关.DNS服务器等网络参数,简化了网络配置,提高了管理效率.但在DHCP服务的管理上存在一些问题,常见的有: ●D ...

  9. (二)Cisco dhcp snooping配置解释

    #配置dhcp snooping相关命令 Switch(config)#ip dhcp snooping  //打开DHCP Snooping功能Switch(config)#ip dhcp snoo ...

随机推荐

  1. 在生产中部署ML前需要了解的事

    在生产中部署ML前需要了解的事 译自:What You Should Know before Deploying ML in Production MLOps的必要性 MLOps之所以重要,有几个原因 ...

  2. cool-admin vite-vue3 打包部署 nginx代理设置

    location /api {rewrite ^/api/(.*)$ /$1 break;proxy_pass http://xxx.com;}location /socket.io {rewrite ...

  3. 搭建SVN服务器-腾讯云

    检查服务器SVN服务器 svn --version 出现版本号说明已安装 安装SVN yum install subversion 创建版本库 svnadmin create /opt/svn/rep ...

  4. Linux 文件权限相关知识

    文件权限说明 Linux中的文件能否被访问和工具(程序)无关,和访问的用户身份有关(谁去运行这个程序) 进程的发起者(谁去运行这个程序). 进程的发起者若是文件的所有者: 拥有文件的属主权限 进程的发 ...

  5. 期末人福音——用Python写个自动批改作业系统

    一.亮出效果 最近一些软件的搜题.智能批改类的功能要下线. 退1024步讲,要不要自己做一个自动批改的功能啊?万一哪天孩子要用呢! 昨晚我做了一个梦,梦见我实现了这个功能,如下图所示:功能简介:作对了 ...

  6. NC16618 [NOIP2008]排座椅

    NC16618 [NOIP2008]排座椅 题目 题目描述 上课的时候总有一些同学和前后左右的人交头接耳,这是令小学班主任十分头疼的一件事情.不过,班主任小雪发现了一些有趣的现象,当同学们的座次确定下 ...

  7. 挑战30天写操作系统-day1-从计算机结构到汇编程序入门

    先动手操作 软盘映像文件制作:先采用二进制编辑器编辑我们所需要的映像文件helloos.img 二进制编辑器下载链接:Bz - c.mos (vcraft.jp) 制作好之后,可以选择写入软盘,通过软 ...

  8. 2022-7-15 java 数据结构入门

    @ 目录 数据结构 1.二分查找 动图演示: 2.冒泡排序 1.冒泡排序原理 2.冒泡排序基础版 3.冒泡排序代码优化版 4.冒泡排序代码升级版 3.选择排序 1. 算法步骤 2.插入排序图解: 3. ...

  9. Visual Studio 生产环境配置方案:SlowCheetah

    原文 SlowCheetah 能满足你不同编译模式产生不同 app.config 配置的需求,已被微软纳入麾下,支持XML,JSON格式. 下面我们用XML的格式来试试如何使用SlowCheetah, ...

  10. String类型函数传递问题

    String类型函数传递问题 问题 以前没有注意过的一个问题, 最近在使用String类型作为函数入参的时候, 发现函数内对于String类型的改变并不会影响到外层调用对象本身; 结论 (先说结论) ...