华为交换机开启 DAI功能

最新推荐文章于 2024-01-03 16:04:38 发布
最新推荐文章于 2024-01-03 16:04:38 发布
阅读量4.1k 收藏 12
点赞数 1
分类专栏: 网络安全 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/autop500/article/details/106745427
版权

测试交换机版本: software, Version 5.160 (S5700 V200R007C00SPC500)
实现的功能: 客户端通过DHCP获取IP地址, 限制发送大量的arp包, 禁止更改静态 IP或MAC, 否则网络不通. 防止了,arp攻击.

配置步骤:
    1.开启DHCP  , DHCP SNOOPING
    2.配置好地址池(全局/接口),测试客户端可以正常获取IP地址;
    3.客户端获取通过DHCP获取IP, dhcp snooping自动生成动态IP/MAC表, 或手动添加静态绑定表;
    4.在VLAN下开启源MAC/IP检测功能, 并配置速率限制,阀值告警等功能;


dhcp enable //开启
dhcp snooping enable  //开启

user-bind static ip-address 192.168.0.3 mac-address ac85-3d97-2140 vlan 100  //(可选)手动静态绑定 可以指定物理端口

--------------------------全局配置参数---------------------------
Global configuration:
    arp anti-attack rate-limit enable  //开启arp速率限制
    arp anti-attack rate-limit packet 100 interval 5 //速率每5秒 100个包
    arp anti-attack rate-limit alarm enable   //超值报警
    arp-miss speed-limit source-ip maximum 10 //限制每个IP最大每秒10个miss包(本版本并不支持!);

----------------------------------------------------------------

----------------DAI检测------接口下开启-----------------
vlan 100
 dhcp snooping enable  //开启snooping 生成动态绑定表
 arp anti-attack check user-bind enable  //开启DAI
 arp anti-attack check user-bind check-item ip-address mac-address interface  //DAI检测项

--------------------------------------------------------------------------

配置生效优先级: 物理接口---------->VLAN接口----------->全局

 

 

 

 

autop500
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【交换安全】DAI - Dynamic ARP Inspection 详解
cisco_eigrp的博客
07-29 1048
一、ARP协议原理 1.协议概述 Address Resolution Protocol在以太网环境中,节点之间互相通信,需知晓对方的MAC地址在现实环境中,一般采用IP地址标示通信的对象,而ARP的功能就是将IP“解析”到对应的MAC地址。 2.协议漏洞 基于广播,不可靠ARP响应报文无需请求即可直接发送,这给攻击者留下巨大漏洞没有确认
Brocade交换机配置DAI(Dynamic ARP Inspection)和DHCP Snooping
然后呢
12-20 2592
这是前几年通过一个项目的测试总结出来的。现在不再做Brocade了,发出来给有需要的朋友们参考。ARP欺骗是局域网内非常常见的攻击手段,而DAI可以有效的防止这种攻击。相关配置:enable acl-per-port-per-vlan #开启基于物理端口的ACL过滤功能 ! ip arp inspection vlan 1 #在指定的VLAN开启DAI功能 ! interface
锐捷交换机部署snooping+DAI功能
cheems404的博客
11-12 3863
Ruijie(config)#ip dhcp snooping #开启DHCP snooping功能 Ruijie(config)#ip arp inspection vlan 1 #针对VLAN1中的用户启用DAI(arp防御)
HUAWEI DHCP Snooping-DAI-IPSG
qq_55707182的博客
03-30 2383
为了防御中间人攻击,可以在Switch上部署动态ARP检测DAI(Dynamic ARP Inspection)功能。动态ARP检测是利用绑定表来防御中间人攻击的。当设备收到ARP报文时,将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。 使能了DHCP Snooping的设备将用户(DHCP客户端)的DHCP请求报文通过信任接口发送给合法的DHCP服务器..
arp anti-attack check user-bind enable 接口或VLAN下动态ARP检测(DAI功能,即对ARP报文进行绑定表匹配检查功能
weixin_40239644的博客
08-17 1815
arp anti-attack check user-bind enable 接口或VLAN下动态ARP检测(DAI功能,即对ARP报文进行绑定表匹配检查功能
Dynamic ARP Inspection(动态ARP检测)功能,简称DAI
qq_42342531的博客
01-06 8456
Dynamic ARP Inspection简介: Dynamic ARP Inspection(动态ARP检测)功能,简称DAI功能。通过检查ARP(Address Resolution Protocol,地址解析协议)报文的合法性,发现并防止ARP欺骗攻击,增强网络安全性。DAI功能主要分为以下两类: 1.端口DAI功能:对指定端口接收到的ARP报文进行合法性检测,便于发现并防止ARP欺骗...
网络部署DHCP Snooping+DAI功能
weixin_74904641的博客
02-15 782
在S1、S2交换机部署DHCP Snooping+DAI功能。其中,DAI功能主要针对VLAN10与VLAN20启用ARP防御,要求关闭S1/S2上联口的NFPP功能,具体配置如下:
华为HCIE论述之DHCP
DigaulesTF的博客
10-08 817
华为HCIE数通论述
局域网交换机安全
09-05
#### 四、案例分析——Cisco与华为交换机安全配置 - **Cisco交换机**: - 使用命令`ip dhcp snooping trust`配置信任端口。 - 通过命令`switchport port-security maximum 1`设置每个端口最大允许一个MAC地址连接...
华为HCIE-Datacom H12-891 笔试 201-250
weixin_73132255的博客
11-29 1961
则正确的命令为以下哪一项?B.rsp_dataa = get_startup_info(ops_corn)表示调用 get_startup_infc 方法,该方法会向设备发送一个 HTP 请求,并将设备的响应数据存放到 rsp_dataa。A.使用 OPS 功能实现空配置设备自动部署的场景中, Python 脚本的作用是用来获取软件和配置文件服务器地址,并下载系统软件和配置文件。Q243.根据网络情况的不同,可以在网络中部署二层 Portal 认证或三层 Portal 认证,以下描述中错误的是哪一项?
华为交换机固件S5700S-52P-LI-AC的固件V200R007C00SPC500
07-12
华为交换机固件S5700S-52P-LI-AC的固件 不保证24口能用。交换机中扣出来的。
华为交换机固件S5700S-LI-V200R007C00SPC500
04-01
S5700S-LI目前最新版,最多支持8个VlanIF.
华为 IPSG技术白皮书
08-28
华为 IPSG技术白皮书
1、华为 华三中小型企业网络架构搭建 【客户需求分析、解决部署思路】
01-06
### 华为华三中小型企业网络架构搭建:客户需求分析与解决部署思路 #### 一、客户需求分析 在当今数字化时代,网络安全已经成为企业运营中的一个重要环节。对于中小型企业而言,构建一个既经济又高效的网络架构至...
2023 华为 Datacom-HCIE 真题题库 12/12(完结)--含解析
mxl00z的博客
06-01 2580
2023 华为 Datacom-HCIE 真题题库 12--含解析
通信网络(2)——DAI技术
最新发布
Hemameba的博客
01-03 791
在今天的测试脚本过程中,遇到了ARP防攻击基于VLAN的DAI防攻击知识点,因此本篇文章将用于介绍为何DAI技术DAI技术是思科的一种技术,全称为Dynamic ARP Inspection,顾名思义动态ARP选择,这里提一下为什么会出现这个DAI技术,因为我们知道ARP报文是作用于局域网中的广播协议,它是没有检测功能的,也就是说我们收到ARP报文是不会检测它是否是正确的,因此这个漏洞就很容易被黑客抓住,黑客会伪造ARP报文,使得局域网内的设备将错误的信息存入自身的ARP缓存表中,这样局域网内的信息都会发往
Dynamic ARP Inspection(DAI)工作原理及测试
weixin_33841722的博客
05-25 722
一.工作原理:A.根据DHCP Snooping或手工方式形成的MAC地址与IP地址绑定表,来确定网络中的非法接入的MAC地址B.同时为了防止恶意ARP欺骗,还可以对接口的arp请求包进行限速---测试发现,对于非信任口的arp请求和回复(包括无理arp)都会被丢弃,因此觉得在非信任端口做限速没有多大必要(没有手工修改DHCP绑定表,或用arp access-list做排除的情况)参考链接:htt...
新版华为HCIP系列课程⑥:交换机高级安全特性
04-16
HCIP-R&S 课程大纲课程模块课程子模块详情内容学习目标路由课程(IERN)1、Advanced IP高级 IP 地址规划完成培训后您将能掌握:(1)理解 OSPF、BGP 协议原理,并掌握基于 VRP 平台下,使用 OSPF、BGP 组建大型网络的方法(2)理解 IGMP、PIM-SM/DM 协议原理,并掌握使用这些组播协议组建组播网络的方法(3)理解 VLAN、GVRP、QinQ、STP、RSTP 和 MSTP 的工作原理(4)掌握应用 STP、RSTP 和 MSTP 避免交换网络环路的方法(5)掌握应用 VLAN、MuX、Super Vlan 和 QinQ 等技术提供透明隔离的交换网络(6)了解网络安全的基本知识(7)了解 Eudemon 系列防火墙的技术原理和功能特征(8)理解 IP QoS 模型和差分服务(DiffServ)模型及数据分类的基本原则和标志、流量控制和整形、拥塞管理、拥塞避免、链路效率等原理(9)理解基于类的 QoS 描述的基本原则(10)提升在大型网络环境下的综合规划、配置运维和排障能力课程价值:完成系列课程培训后,您对中小型网络有全面深入的了解,掌握中小型网络的通用技术,并具备独立设计中小型网络以及使用华为路由交换(数通)设备实施设计的能力。
ARP欺骗泛洪攻击的防御——DAI动态ARP监控技术
qq_62311779的博客
08-19 1766
一、DAI动态ARP监控技术(具备DHCP SNOOPING环境下): 二、非DHCP SNOOPING环境下: 三、扩展:自动打开err-disable接口方法:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值