DHCP SNOOPING BINDING DATABASE

最新推荐文章于 2024-01-13 19:58:24 发布
最新推荐文章于 2024-01-13 19:58:24 发布
阅读量3.3k 收藏 2
点赞数
分类专栏: cisco
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elearnings/article/details/38964065
版权
当DHCP snooping被启用时,交换机使用DHCP snooping binding database去存储关于非可信接口的信息。数据库可以维持8192个绑定。
每个数据库实体(binding)有一个IP,对应mac地址,释放时间(hexadecimal格式),接口对应哪个绑定应用,接口所属于的Vlan。
数据库agent存储bindings到一个配置好路径的文件中。每个实体结尾处是一个checksum(记录所有的字节,从文件开始到这个entry)。每一个entry是72字节,紧跟其后的是一个空格和checksum值。


当交换重启时,为了能保持bindings,你必须使用DHCP snooping database agent。如果agent被禁用,多动态的ARP 检测或ip source guard启用,dhcp snooping binding数据库有一个动态的bindings,交换机丢失它的链接。如果agent被禁用,只有dhcp snooping启用,交换机不丢失它的连接,但dhcp snooping或许不能阻止dhcp snooping 攻击。


当重启时,交换机读bindings文件去修正dhcp snooping binding数据库。交换机更新文件(当数据库变化修改时)。


当交换机学习到新的bindings或者当它失去bindings,交换机立即更新数据库中的entries。交换机也更新binding文件中的entries。每个文件的更新频率是基于一个可配置的延迟,可批量更新。


这个是一个binding文件的默认格式:
<initial-checksum> 
TYPE DHCP-SNOOPING 
VERSION 1 
BEGIN 
<entry-1> <checksum-1> 
<entry-2> <checksum-1-2> 
... 
... 
<entry-n> <checksum-1-2-..-n> 
END 


例如:
2bb4c2a1
TYPE DHCP-SNOOPING
VERSION 1
BEGIN
192.1.168.1 3 0003.47d8.c91f 2BB6488E interface-id 21ae5fbb
192.1.168.3 3 0003.44d6.c52f 2BB648EB interface-id 1bdb223f
192.1.168.2 3 0003.47d9.c8f1 2BB648AB interface-id 584a38f0
END

honghu79
关注
专栏目录
DHCP snooping
qq_42342531的博客
01-07 1431
DHCP snooping基本功能简介: DHCP snoopingDHCP(Dynamic Host Configuration Protocol,动态主机配置协议)的一种安全特性,主要具有如下两种功能: 1.记录DHCP客户端MAC地址与IP地址的对应关系: 出于安全性的考虑,网络管理员可能需要记录用户上网时所用的IP地址,确认用户主机MAC地址和从DHCP服务器获取的IP地址的对应关...
DHCP高阶应用系列之《dhcp-snooping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址》
weixin_44645270的博客
07-18 2643
DHCP高阶操作系列之《dhcp-snoping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址》
DHCP Snooping功能的详细分析.doc
04-06
DHCP Snooping功能的详细分析
DCN 神州数码 交换机DHCP Snooping Binding典型配置
最新发布
z09364517158的博客
01-13 537
出于安全性考虑,用户网络中的PC机虽然使用DHCP方式获得IP地址。但需要对获得的IP地址进行绑定,不允许手动配置IP地址的PC机访问内网。2.Switch的E 1/1端口连接的PC 1手动进行绑定(手动绑定后的PC可以使用静态方式访问内网)#全局开启DHCP SnoopingDHCP Snooping绑定功能。1.Switch的E 1/2端口连接的PC 2自动进行绑定。#设置E 1/1端口可以自动绑定DHCP获得的IP地址。#手动绑定PC 1的IP地址和MAC地址。
DHCP SNOOPING总结
weixin_34128839的博客
05-13 141
DHCP SNOOPING总结在cisco设备中的配置在cisco网络环境下,boot request在经过了启用DHCP SNOOPING特性的设备上时,会在DHCP数据包中插入option 82的选项(具体见RFC3046),这个时候,boot request中数据包中的gateway ip address:为全0,所以一旦dhcp relay 设备检测到这样的数据包,就...
DHCP Snooping功能与实例详解
Jian Sun_的博客
08-07 3452
一、采用DHCP服务的常见问题 架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题,常见的有: ●DHCP Server的冒充 ●DHCP Server的DOS攻击,如DHCP耗竭攻击 ●某些用户随便指定IP地址,造成IP地址冲突 1、DHCP Server的冒充 由于DHCP服务器和客户端之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他...
DHCP snooping详解
热门推荐
mypanlong的专栏
10-07 1万+
一、机制概述       DHCP都非常熟悉了,对于DHCP客户端而言,初始过程中都是通过发送广播的DHCP discovery消息寻找DHCP服务器,然而这时候如果内网中存在私设的DHCP服务器,那么就会对网络造成影响,例如客户端通过私设的DHCP服务器拿到一个非法的地址,最终导致PC无法上网。 snooping详解" title="DHCP snooping详解"
please enable dhcp snooping binding first
04-02
4. Verify the DHCP snooping binding database to ensure that all devices are correctly identified and authorized. Please note that the specific steps and commands required to enable DHCP snooping ...
Cisco交换机DHCP Snooping功能详解+实例
weixin_34198881的博客
03-31 9956
一、采用DHCP服务的常见问题 架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题,常见的有: ·DHCP Server的冒充 ·DHCP Server的DOS***,如DHCP耗竭***·某些用户随便指定IP地址,造成IP地址冲突 1、DHCP Ser...
DHCP Snooping
u013111726的博客
05-15 1993
DHCP SnoopingDHCP被用于动态地址分发,极大的降低了终端接入网络的简易性,但是协议本身没有任何的安全保护机制,非常容易被针对攻击。同一广播域中一旦出现虚假DHCP Server,终端获取的地址将极有可能是虚假DHCP Server推送的IP地址,导致广播域中很大一部分终端无法上网。DHCP Snooping功能概述对非信任接口收到的DHCP等报文过滤限制DHCP速率维护DHCP sn...
解决IP地址冲突的完美方法--DHCP SNOOPING
03-26
解决IP地址冲突的完美方法--DHCP SNOOPING 使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING功能。 例子: version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption service compress-config ! hostname C4-2_4506 ! enable password xxxxxxx! clock timezone GMT 8 ip subnet-zero no ip domain-lookup ! ip dhcp snooping vlan 180-181 // 对哪些VLAN 进行限制 ip dhcp snooping ip arp inspection vlan 180-181 ip arp inspection validate src-mac dst-mac ip errdisable recovery cause udld errdisable recovery cause bpduguard errdisable recovery cause security-violation errdisable recovery cause channel-misconfig errdisable recovery cause pagp-flap errdisable recovery cause dtp-flap errdisable recovery cause link-flap errdisable recovery cause l2ptguard errdisable recovery cause psecure-violation errdisable recovery cause gbic-invalid errdisable recovery cause dhcp-rate-limit errdisable recovery cause unicast-flood errdisable recovery cause vmps errdisable recovery cause arp-inspection errdisable recovery interval 30 spanning-tree extend system-id ! ! interface GigabitEthernet2/1 // 对该端口接入的用户进行限制,可以下联交换机 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/2 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/3 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/4 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 --More-- 编者注:对不需要明确地址的所有人的时候是一个很好的解决办法。另外,可以查看www.cisco.com的 IP Source Guard Similar to DHCP snooping, this feature is enabled on a DHCP snooping untrusted Layer 2 port. Initially, all IP traffic on the port is blocked except for DHCP packets that are captured by the DHCP snooping process. When a client receives a valid IP address from the DHCP server, or when a static IP source binding is configured by the user, a per-port and VLAN Access Control List (PACL) is installed on the port. This process restricts the client IP traffic to those source IP addresses configured in the binding; any IP traffic with a source IP address other than that in the IP source binding will be filtered out. This filtering limits a host's ability to attack the network by claiming neighbor host's IP address.
交换高级特性 —— DHCP snoopingDHCP欺骗泛红攻击)
qq_62311779的博客
08-17 4383
一、DHCP欺骗泛洪攻击 (1)钓鱼网站简介: (2)DNS的作用: (3)DHCP中继技术简介: (-1)核心交换机DHCP配置命令: (4)dhcp欺骗详解: 第一步:pc2作为恶意攻击者会耗尽DHCP Sever的地址池,让DHCP Server不能给p c1分配地址池 第二步:pc2充当DNS和DHCP欺骗pc1 (4-1)图解: 二、防御——DHCP snooping (1)开启DHCP SNOOPING之后的效果: (2)配置案列.........
实训二十八:交换机 DHCP Snooping 的配置
weixin_60462069的博客
10-03 6733
1、在 DHCP 的网络环境中,管理员经常碰到的一个问题就是一些用户私自修改使用静态的 ip 地址,而不是使用动态获取 Ip 地址,而使用静态IP 又会导致一些使用动态获取 IP 的用 户无法正常使用网络,从而使网络应用环境变得复杂,管理员管理网络的难度加大,而 DHCP动态绑定是指设备在 DHCP 的过程中通过记录合法用户的 ip 获取信息,并进行相关记录,从 而进行相关的安全处理,从而引入 DHCPsnooping 地址绑定功能。配置完成之后,发现私设。功能:开启 DHCP Snooping 功能。
IP DHCP SNOOPING工作原理测试
weixin_33805743的博客
05-25 307
一.工作原理:A.在指定VLAN启用DHCP Snooping后,将端口分为Trusted接口和Untrusted接口,默认VLAN所有接口都变为Untrusted接口,需要手动设置Trusted接口。B.对于Untrusted接口,只能接收DHCP的请求消息,不会向这个接口发送出DHCP的请求消息。C.对于Untrusted接口,从接口进入的DHCP的响应消息也会被drop掉D.对于Truste...
开启Cisco交换机DHCP Snooping功能
weixin_34310127的博客
07-16 227
一、采用DHCP服务的常见问题架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题常见的有:·DHCP Server的冒充·DHCP Server的DOS***,如DHCP耗竭***·某些用户随便指定IP地址,造成IP地址冲突1、DHCP Server的冒充由于DHCP服务...
利用DHCP snooping解决dhcp冲突
weixin_33874713的博客
03-05 646
DHCP都非常熟悉了,对于DHCP客户端而言,初始过程中都是通过发送广播的DHCPdiscovery消息寻找DHCP服务器,然而这时候如果内网中存在私设的DHCP服务器,那么就会对网络造成影响,例如客户端通过私设的DHCP服务器拿到一个非法的地址,最终导致PC无法上网。配置示例PC属于VLAN10,网关在SW2上。DHCPserver属于VLAN100,网关在SW2上。SW1...
Cisco交换机关于DHCP SNOOPING的配置指令
par@ish的博客
10-23 1786
在Cisco交换机上配置DHCP SnoopingDHCP欺骗防护)
配置dhcp 探听 和 源ip 的保护
weixin_33676492的博客
12-31 621
Configuring DHCP Snooping and IP Source Guard This chapter describes how to configure Dynamic Host Configuration Protocol (DHCP) snooping and IP Source Guard on Catalyst 4500 series switche...
锐捷学习笔记-17(DHCP snooping
zhaoxx22的博客
07-20 481
clear ip dhcp snooping binding 1111.2222.3333 /命令删除dhcp snooping的表项。ip dhcp snooping /开启DHCP snooping的功能。ip dhcp snooping check-giaddr /窥探中继DHCP报文的命令。锐捷DHCP Snooping的配置命令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值