1、端口安全用于防止mac地址的欺骗、mac地址泛洪攻击。主要思想就是在交换机的端口下通过手工或者自动绑定mac地址,这就就只能是绑定的mac地址能够通过。

2、通过静态的端口绑定:将mac地址手工静态的绑定到相应的交换机的接口下。

sw(config)#mac-address-table static 0001.0001.0001 interface f0/2 vlan 1  //该接口属于vlan 1

3、端口安全方式:

①设置端口安全的一些属性:

(config)#int f0/1

(config-if)#switchport port-security maximum 1 可以允许此接口学习1个MAC,默认是最多只能学习一个mac地址,可按需修改。

(config-if)#switchport port-security violation ?     //当违规时所执行的动作,一共有三个。

  protect   Security violation protect mode  // 丢弃、告警,告警日志通过syslog产生的

  restrict   Security violation restrict mode  //无声丢弃

  shutdown  Security violation shutdown mode  //默认的违规行为err-disable

②开启端口安全:

sw-3550(config)#int f0/1

sw-3550(config-if)#switchport mode access  //必须指定一个模式

sw-3550(config-if)#switchport port-security  //开启端口安全

sw-3550(config-if)#exit

③可以在端口安全下开启静态端口绑定:

端口安全下MAC地址绑定:配置这条命令先把端口关闭情况下配置

(config)#int f0/1

(config-if)#switchport port-security mac-address 0001.0001.0001

(config-if)#switchport port-security  //强制指定此接口连接的PC的MAC地址为0001.0001.0001,效果与手工静态绑定一致,就是多了一个违规后的动作。

④可以把动态学习到的mac转为端口绑定地址,这个常用:

//把动态学习的MAC地址做一个静态映射,且没有老化时间概念,也就意味着这个接口以后只能连接特定PC,除非在交换机上面做相对应修改:

sw-3550(config)#in f0/1

sw-3550(config-if)#switchport port-security mac-address sticky

sw-3550(config-if)#switchport port-security

sw-3550(config-if)#exit

4、DHCP snooping:可以防御DHCP攻击,也可以防止端口欺骗、攻击、mac泛洪等攻击。主要思想就是DHCP snooping会生成一张扩展的mac表,这个表中记录了每一个接口下pc的详细信息,包括mac地址、接口、所属vlan、IP地址等信息,然后交换机就根据这张扩展的mac地址变进行检查过滤。

5、开启DHCP snooping之后交换机的所有接口就默认置为untrust状态,该状态下会自动拒绝接收offer和DHCP  ACK报文。这样攻击者就无法冒充DHCP服务器进行欺骗攻击了。将我们合法的DHCP服务器接口手动的置为trust状态即可。

6、开启DHCP snooping后的工作机制:

①可以在接口下针对DHCP报文进行限速,防御黑客利用DHCP报文进行广播泛洪攻击。

②检查从PC收到的DHCP报文,如果PC发送的DHCP报文含有option 82的话则丢弃此报文,因为只有交换机采用权限在DHCP报文里面插入option 82选项(交换机还会在discover报文里面插入对应VLAN的gateway ip地址)。option82选项是交换机插入的,选项里面含有该接口所属vlan的网关IP地址。

③还能检测是否该pc恶意的替其他的pc退租。

DHCP snooping配置:

3550(config)#ip dhcp snooping  //全局开启

3550(config)#ip dhcp snooping vlan 100 //VLAN100启用

sw-3550(config)#int f0/2

sw-3550(config-if)#ip dhcp snooping trust  //将DHCP服务器的接口置为信任接口

sw-3550(config-if)#exit

//当时两个交换机时,需要处理option 82选项

sw-3550(config)#no ip dhcp snooping information option

//进行DHCP报文的限速,防止泛洪攻击

sw-3550(config)#int f0/6

sw-3550(config-if)#ip dhcp snooping limit rate 10

sw-3550(config-if)#exit

//基于源MAC和源IP地址的过滤

Ip dhcp snooping

Ip dhcp snooping vlan 10

ip source binding 0001.0001.0001 vlan 10 192.168.1.101 interface Fa0/7 //手工写的一条扩展的mac表

Int f0/7

 Switchport port-security

 Ip verity source port-secuity

 Exit

//对从F0/7接口进入的报文,根据源IP地址和源MAC地址进行认证审查,是否满足扩展的CAM表

//说明:当网络中有DHCO服务器的时候,那么开启DHCP snooping的交换机就会自动的生成一张扩展的mac表,不需要手工写。
DHCP snooping用来做端口安全、防止端口攻击、泛洪攻击的本质就是利用mac扩展表。

⑦DHCP snooping也可以用来防御arp攻击:原理就是限制arp在一定时间内的数量以及根据mac扩展表过滤非法的arp包。

配置:

ip dhcp snooping

ip dhcp snooping vlan 10

ip arp inspextion vlan 10  //在vlan10里面使用扩展的mac表监控arp报文是否合法。

ip dhcp snooping limit 15  //限制arp包每秒发送的数量。

端口安全 | DHCP snooping的更多相关文章

  1. DHCP snooping

    DHCP snooping 技术介绍   DHCP监听(DHCP Snooping)是一种DHCP安全特性.Cisco交换机支持在每个VLAN基础上启用DHCP监听特性.通过这种特性,交换机能够拦截第 ...

  2. h3c dhcp snooping

    1. 组网需求Switch B通过以太网端口Ethernet1/1连接到DHCP服务器,通过以太网端口Ethernet1/2.Ethernet1/3连接到DHCP客户端.要求:l与DHCP服务器相连的 ...

  3. Cisco DHCP Snooping + IPSG 功能实现

    什么是DHCP? DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,前身是BOOTP协议, 使用UDP协议工作,常用的2个端口 ...

  4. dhcp snooping、ARP防护、

    应用场景 无线客户端流动性很大和不确定,比如在外来人员比较多的地方:广场.大厅.会议室和接待室等等.使用该方案可以有效地避免因为无线端出现私设IP地址导致地址冲突或者客户端中ARP病毒发起ARP攻击的 ...

  5. DHCP snooping(DHCP监听)

    DHCP监听可以防范利用DHCP发起的多种攻击行为,如DHCP中间人攻击,伪造多台设备耗尽地址池 DHCP监听允许可信端口上的所有DHCP消息,但是却过滤非可信端口上的DHCP消息,DHCP监听还会在 ...

  6. DHCP Snooping的实现

    DHCP Snooping的实现 DHCP Snooping的实现 主要作用:1.防止在动态获得IP地址的网络环境中用户手动配置PC的IP地址;2.防止A用户的PC静态配置的IP地址顶掉B用户PC动态 ...

  7. (五)Cisco dhcp snooping实例3-多交换机环境(DHCP服务器和DHCP客户端位于同VLAN)

    试验拓扑 环境:dhcp server和dhcp客户端属于同vlan,但是客户端属于不同的交换机,在L2和L3交换机开启dhcp snooping后得出如下结论 L3交换机的配置 ip dhcp po ...

  8. (一)Cisco DHCP Snooping原理(转载)

    采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址.掩码.默认网关.DNS服务器等网络参数,简化了网络配置,提高了管理效率.但在DHCP服务的管理上存在一些问题,常见的有: ●D ...

  9. (二)Cisco dhcp snooping配置解释

    #配置dhcp snooping相关命令 Switch(config)#ip dhcp snooping  //打开DHCP Snooping功能Switch(config)#ip dhcp snoo ...

随机推荐

  1. 记一次 .NET 某物管后台服务 卡死分析

    一:背景 1. 讲故事 这几个月经常被朋友问,为什么不更新这个系列了,哈哈,确实停了好久,主要还是打基础去了,分析 dump 的能力不在于会灵活使用 windbg,而是对底层知识有一个深厚的理解,比如 ...

  2. zabbix-5.0自动发现

    1. 安装zabbix5.0 rpm -Uvh https://repo.zabbix.com/zabbix/5.0/rhel/7/x86_64/zabbix-release-5.0-1.el7.no ...

  3. NFS网络文件系统搭建

    1. 简介 NFS, 就是network file system的简称. 可以通过NFS, 来共享不同主机的文件.目录. 2010年,NFS已经发展到v4.1版本. 2. 应用场景 在中小型企业中,N ...

  4. ssh-免密钥登陆

    实现openssh免密钥登陆(公私钥验证) 在主机A上,通过root用户,使用ssh-keygen生成的两个密钥:id_rsa和id_rsa.pub 私钥(id_rsa)保存在本地主机,公钥(id_r ...

  5. jQuery获取市、区县、乡镇、村

    效果图: 首先根据自己方法把地区树状结构json字符串拿到 html下拉框和js写法如下: <select class="form-control" style=" ...

  6. C4C UI Design背景色

  7. 上传几张.NET5之后的机器人logo

    上传几张.NET5之后的机器人logo

  8. Host–Parasite(主从关系): Graph LSTM-in-LSTM for Group Activity Recognition

    This article aims to tackle the problem of group activity recognition in the multiple-person scene. ...

  9. 基于YCbCr色彩模型的简易肤色识别器

    一.实验方法 实验共选取了12张图像,利用画笔工具在每幅图像上选取5个点,并分别记录RGB值.取点方式如下图所示:        总共70个点,R,G,B的值分别如下表所示: RGB色彩模型和YCbC ...

  10. CF1703E Mirror Grid 题解

    给定一个矩阵,判断最少将多少个格反转后使得旋转零度,九十度,一百八十度,二百七十度相等. 枚举矩阵每个位置是 \(0\) 还是 \(1\),若已经判断过则跳过,全统 \(1\) 和全统 \(0\) 取 ...