DHCP SNOOPING总结 非常全了,

最新推荐文章于 2024-07-05 21:38:36 发布
最新推荐文章于 2024-07-05 21:38:36 发布
阅读量4.3k 收藏 5
点赞数
DHCP SNOOPING总结
www.net130.com     日期:2007-12-6    浏览次数:9863
出处:互联网

在cisco设备中的配置
在cisco网络环境下,boot request在经过了启用DHCP SNOOPING特性的设备上时,会在DHCP数据包中插入option 82的选项(具体见RFC3046)
这个时候,boot request中数据包中的gateway ip address:为全0,所以一旦dhcp relay 设备检测到这样的数据包,就会丢弃。
虽然dhcp snooping是用来防止非法的dhcp server接入的,但是它一个重要作用是一旦客户端获得一个合法的dhcp offer。
启用dhcp snooping设备会在相应的接口下面记录所获得IP地址和客户端的mac地址。
这个是后面另外一个技术ARP inspection检测的一个依据。ARP inspection是用来检测arp请求的,防止非法的ARP请求。
认为是否合法的标准的是前面dhcp snooping时建立的那张表。因为那种表是dhcp server正常回应时建立起来的,
里面包括是正确的arp信息。如果这个时候有arp攻击信息,利用ARP inspection技术就可以拦截到这个非法的arp数据包。
其实利用这个方法,还可以防止用户任意修改IP地址,造成地址冲突的问题。

ip dhcp excluded-address 10.63.150.100 10.63.150.120    不由dhcp分配的地址

!
ip dhcp pool main      定义地址池

     network 10.63.144.0 255.255.255.0       定义地址池做用的网段及地址范围
     default-router 10.63.144.1      定义客户端的默认网关
     domain-name nbyzzj.cn        定义客户端所在域
     netbios-node-type h-node
     //为客户机配置节点模式(影响名称解释的顺利,如h-node等于先通过wins服务器解释)
     dns-server 10.60.12.11        定义客户端的dns
     lease 7      定义地址租约时间为7天

ip dhcp snooping      打开dhcp snooping功能

ip dhcp snooping vlan 10-12,101-108,315     定义snooping作用的vlan
ip dhcp snooping database flash:dhcp-snooping.db      将绑定表保存在flash中,避免重启设备后,重新绑定


ip arp inspection vlan 10-12,101-108,315    定义arp inspection 作用的vlan,它是根据dhcp snooping binding表做判断的
ip arp inspection validate src-mac dst-mac ip     侦测有效客户端须满足src-mac dst-mac ip 均无错
ip arp inspection log-buffer entries 1024 inspection 日志大小
ip arp inspection log-buffer logs 1024 interval 300     inspection 日志刷新时间,interval太小会占用大量cpu时间
!
!
!
errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause gbic-invalid
errdisable recovery cause l2ptguard
errdisable recovery cause psecure-violation
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause unicast-flood
errdisable recovery cause vmps
errdisable recovery cause arp-inspection
errdisable recovery interval 30
在开始应用Dynamic ARP Inspection时,交换机会记录大量的数据包,当端口通过的数据包过多时,
交换机会认为遭受DoS攻击,从而将端口自动errdisable,造成通信中断。为了解决这个问题,
我们需要加入命令errdisable recovery cause arp-inspection

no file verify auto

logging on      当logging关闭时会占用大量cpu资源,一定勿忘打开

no spanning-tree loopguard default      最好不要打开

ip source binding 0004.76f6.e3e9 vlan 315 10.63.150.100 interface Gi1/0/11      手动增加静态地址的条目
!

interface GigabitEthernet1/0/11
switchport trunk encapsulation dot1q
switchport mode trunk
ip arp inspection limit none
arp timeout 2
ip dhcp snooping limit rate 100

由于下连设备,为了避免inspection让端口errdisable,所以对arp的侦测不做限制,若直接为接入设备,
可使用ip arp inspection limit rate 100

相关命令:
sh logging       查看Dymatic Arp Inspection (DAI) 是否生效.
sh ip dhcp snooping binding       查看snooping是否生效
sh ip dhcp binding       看dhcp server 是否生效.
sh arp       看arp信息是否与 dhcp snooping binding表一致

下级设备若支持dhcp snooping 可这样配置:
ip dhcp snooping
int g0/1      上行端口
switchport trunk encapsulation dot1q
switchport mode trunk
ip dhcp snooping trust      定义此端口为信任端口,从此口来的dhcp server数据有效,可阻止其它dhcp server发送dhcp数据。

 经实验,对于已存在于绑定表中的mac和ip对于关系的主机,不管是dhcp获得,还是静态指定,
只要符合这个表就可以了。如果表中没有就阻塞相应流量。

如果使用了dhcp中继服务,那需要在网关交换机上键入如下命令:
方法一:
    inter vlan10
     ip dhcp relay information trusted
方法二:
    switch(config)# ip dhcp relay information trust-all

IntelligentDren
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DHCP snooping
qq_42342531的博客
01-07 1411
DHCP snooping基本功能简介: DHCP snoopingDHCP(Dynamic Host Configuration Protocol,动态主机配置协议)的一种安全特性,主要具有如下两种功能: 1.记录DHCP客户端MAC地址与IP地址的对应关系: 出于安全性的考虑,网络管理员可能需要记录用户上网时所用的IP地址,确认用户主机MAC地址和从DHCP服务器获取的IP地址的对应关...
配置DHCP Snooping功能
06-19
### 配置DHCP Snooping功能 #### 一、引言 随着网络技术的发展与应用...总之,DHCP Snooping是一项非常实用且必要的网络安全技术,合理运用可以有效防止非法DHCP服务器带来的安全威胁,保障网络环境的安全稳定运行。
DHCP snooping解决私接DHCP服务器问题.doc
02-17
通常在一些小型企业中,令大多数网工头疼的一件事,就是有一部分员工可能会买一台家用的TP-LINK路由器接入到公司网络中。特别是对于做桌面运维的童鞋应该深有体会,你又不可能不让他接,让他接又可能会导致其他的终端设备不能正确的获取到DHCP服务器分配的ip地址,这是一件令人头疼的事儿,不过,有了DHCP snooping以后,可以很好的解决我们企业网违法私接DHCP服务器的问题。
企业网安全防范系列之三:思科交换机上DHCP Snooping的运用,解决私接路由器导致地址错乱
网络之路Blog(其他平台同名)
03-04 3135
拓扑 DHCP服务在网络中应用很常见,但是也容易被干扰,为什么这么说呢,主要是因为DHCP的机制很简单,而且谁先响应先用谁的,并没有什么验证以及安全机制,这样如果网络中存在多个DHCP服务器的话,那么我们就不能确保内网PC能够准确的获取到对应的地址。而且也有攻击软件,能够非常快速的把合法地址池给全部获取完毕,这样内网PC获取到的则是攻击者提供的网段,比如错误的网关,DNS,这样使得更加容易让客户端访问错误的信息。 1、正常情况下DHCP的获取 说明:正常情况下由三层交换机来提供DHCP地址服...
锐捷DHCPv6 Snooping的介绍配置实例以及故障案例分析-(值得收藏)
最新发布
满地找牙的博客
07-05 830
锐捷网络设备支持`DHCPv6 Snooping`功能,这是针对IPv6环境下的DHCP安全特性。`DHCPv6 Snooping`主要作用是保护IPv6网络免受DHCP仿冒攻击,确保客户端仅能从合法的DHCPv6服务器接收IPv6地址和网络配置参数。
DHCP SNOOPING总结
weixin_34128839的博客
05-13 134
DHCP SNOOPING总结cisco设备中的配置在cisco网络环境下,boot request在经过了启用DHCP SNOOPING特性的设备上时,会在DHCP数据包中插入option 82的选项(具体见RFC3046),这个时候,boot request中数据包中的gateway ip address:为全0,所以一旦dhcp relay 设备检测到这样的数据包,就...
DHCP Snooping
热门推荐
曹世宏的博客
05-22 2万+
DHCP Snooping简介 DHCP SnoopingDHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。 目前DHCP协议(RFC2131)在应用的过程中遇到很多安全方面的问题,网络中存在一些针对D...
DHCP学习笔记 DHCP Snooping
weixin_34393428的博客
07-27 172
DHCP学习笔记 DHCP Snooping 2011-08-10 12:37 DHCP产生的背景: 1. BOOTP是静态分配IP地址的,满足不了灵活性和IP地址利用率的需求; 2. 减少了网管员的工...
华为 ME60 V800R010C10SPC500 配置指南 - DHCP Snooping配置
04-04
总结来说,华为ME60 V800R010C10SPC500版本的DHCP Snooping配置是网络管理员保障网络安全、预防攻击和优化网络性能的关键工具。正确理解和配置DHCP Snooping的各项功能,对于提升网络服务的可靠性和用户安全性至关...
DHCP snooping 原理
07-08
DHCP snooping是一种网络安全功能,用于...总结起来,DHCP snooping通过验证DHCP报文的来源和内容,防止未经授权的DHCP服务器对网络设备进行攻击或干扰。它是一种有效的网络安全措施,可以提高网络的可靠性和安全性。
解决IP地址冲突的完美方法--DHCP SNOOPING
03-26
解决IP地址冲突的完美方法--DHCP SNOOPING 使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING功能。 例子: version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption service compress-config ! hostname C4-2_4506 ! enable password xxxxxxx! clock timezone GMT 8 ip subnet-zero no ip domain-lookup ! ip dhcp snooping vlan 180-181 // 对哪些VLAN 进行限制 ip dhcp snooping ip arp inspection vlan 180-181 ip arp inspection validate src-mac dst-mac ip errdisable recovery cause udld errdisable recovery cause bpduguard errdisable recovery cause security-violation errdisable recovery cause channel-misconfig errdisable recovery cause pagp-flap errdisable recovery cause dtp-flap errdisable recovery cause link-flap errdisable recovery cause l2ptguard errdisable recovery cause psecure-violation errdisable recovery cause gbic-invalid errdisable recovery cause dhcp-rate-limit errdisable recovery cause unicast-flood errdisable recovery cause vmps errdisable recovery cause arp-inspection errdisable recovery interval 30 spanning-tree extend system-id ! ! interface GigabitEthernet2/1 // 对该端口接入的用户进行限制,可以下联交换机 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/2 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/3 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/4 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 --More-- 编者注:对不需要明确地址的所有人的时候是一个很好的解决办法。另外,可以查看www.cisco.com的 IP Source Guard Similar to DHCP snooping, this feature is enabled on a DHCP snooping untrusted Layer 2 port. Initially, all IP traffic on the port is blocked except for DHCP packets that are captured by the DHCP snooping process. When a client receives a valid IP address from the DHCP server, or when a static IP source binding is configured by the user, a per-port and VLAN Access Control List (PACL) is installed on the port. This process restricts the client IP traffic to those source IP addresses configured in the binding; any IP traffic with a source IP address other than that in the IP source binding will be filtered out. This filtering limits a host's ability to attack the network by claiming neighbor host's IP address.
配置dhcp snooping 防止终端用户获取到非法IP地址
weixin_44854017的博客
12-20 1637
防止终端用户获取到非法IP地址
详解DHCP Snooping
weixin_34279246的博客
08-06 147
DHCP服务器的客户端和服务端的工作   DHCP Client 发出 DHCP DISCOVER广播报文给 DHCP Server,若 Client 在一定时间内没有收到服务器的响应,则重发 DHCP DISCOVER 报文。DHCP Server收到 DHCP DISCOVER报文后,根据一定的策略来给 Client 分配资源(如 IP 地址),然后发出 DHCP OF...
配置DHCP Snooping
weixin_46041124的博客
02-23 2895
而每个交换机的端口推荐只连接一台PC,否则如果交换机某端口下串接一个Hub,在Hub上连接了若干PC的话,那么如果凑巧该Hub下发生DHCP欺骗,由于欺骗报文都在Hub端口间直接转发了,没有受到接入层交换机的DHCP Snooping功能的控制,这样的欺骗就无法防止了。2、在接入交换机SwitchA上全局使能DHCP Snooping,然后在连接PC的接口使能DHCP Snooping,同时将上联核心交换机的接口配置为信任接口(信任接口正常接收DHCP服务器响应的DHCP报文。
DHCP Snooping,Dynamic ARP Inspection实现
MySpace
10-14 1955
DHCP监听将交换机端口划分为两类:     ●非信任端口:通常为连接终端设备的端口,如PC,网络打印机等     ●信任端口:连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口 一、DHCP snooping 技术介绍 DHCP监听(DHCP Snooping)是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性,交换机能够拦截第二层
DHCP Snooping功能介绍与实验效果呈现
m0_62621003的博客
04-03 3168
DHCP嗅探,保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。DHCP Snooping信任功能可以控制DHCP服务器应答报文的来源,以防止网络中可能存在的伪造或非法DHCP服务器为其他主机分配IP地址及其他配置信息。dhcp snooping enable #全局开启dhcp snooping功能,开启之后,默认设备所有接口处于非信任接口。正常转发接收到的DHCP应答(offer)报文,转发DHCP请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值