交换机dhcp snooping和IP source guard禁止手动配置IP (dhcp/环路防护)

最新推荐文章于 2024-02-28 09:19:18 发布
最新推荐文章于 2024-02-28 09:19:18 发布
阅读量4.3k 收藏 21
点赞数
分类专栏: 运维 文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wailaizhu/article/details/117658390
版权

通过dhcp snooping 防止内部企业网私自接入dhcp server;
通过启用IP source guard防止内部用户私自手动配置ip地址。

思科dhcp防护:

接入层dhcp snooping 配置:

(config)#ip dhcp snooping
(config)# ip dhcp snooping vlan 67
(config)#interface GigabitEthernet1/0/47
(config-if)#ip dhcp snooping trust

核心层需要如下配置:(否则客户端获取不到IP地址)

(config)#interface vlan 67
(config)# ip dhcp relay information trusted

看下效果:

#sh ip dhcp snooping
#sh ip dhcp snooping  binding

IP Source Guard 配置:
配置ip source guard 之前,必须先启用 dhcp snooping.只需在对应的接口下启用即可:

(config)#interface gigabitEthernet 1/0/10
(config-if)#switchport port-security
(config-if)#ip verify source port-security

 看下效果:

#sh ip ver source

Filter mode: 正常为Active 状态
IP 地址一栏中, 显示正常IP的既可以正常上网,deny-all 的可能是手动配置的IP地址 .

锐捷dhcp防护:

接入交换机配置:

Ruijie(config)#ip dhcp snooping              //开启DHCP snooping功能

Ruijie(config)#interface gigabitEthernet 0/49          //连接DHCP服务器的接口配置为可信任口

Ruijie(config-GigabitEthernet 0/49)#ip dhcp snooping trust

  //开启DHCP snooping的交换机所有接口缺省为untrust口,交换机只转发从trust口收到的DHCP响应报文(offer、ACK)

思科防环:
1、在全局下开启portfast
spanning-tree portfast default 
2、在接口下开启BPDU防护
spanning-tree bpduguard enable
3、也可在全局下对所有端口开启BPDU防护
C3560G-1(config)#spanning-tree portfast default
C3560G-1(config)#spanning-tree portfast bpduguard default

H3C防环:
1、在全局下开启环路检测并设置检测间隔时间
 loopback-detection enable
 loopback-detection interval-time 5
2、在接口下也得开启环路检测
[H3C-S5120-GigabitEthernet1/0/12]loopback-detection enable 

注:loopback-detection per-vlan enable         //对端口下所有VLAN中执行网络环回监测,仅Trunk端口或Hybrid端口有效。

当网络中真出现环路时,可以用以下命令查看环路来自哪个端口
[H3C-S5120-GigabitEthernet1/0/12]dis loopback-detection 
 Loopback-detection is running
 Detection interval time is 5 seconds
 Following port(s) has(have) loopback link:
 GigabitEthernet1/0/12    //环路来自该端口

RuiJie防环:

方法一:

  (config)#spanning-tree        //开启生成树协议
  (config)#spanning-tree mode stp         //指定生成树类型可选模式stp , rstp , mstp            (config)#spanning-tree priority 4096         //设置交换机的优先级默认为32768

方法二:

rldp enable                                                         //全局开启防环
errdisable recovery interval 300                         //当端口被RLDP检测并shutdown等300秒后恢复

interface range g0/1-8
rldp port loop-detect shutdown-port

wailaizhu
关注
  • 0
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ip dhcp snooping配置不当造成PC不能正常获取IP
01-05
ipdhcpsnooping配置不当造成PC不能正常获取IP
dhcp,ip source guard,arp detection,acl
guaiguaigirlma的专栏
01-09 2077
1.介绍   DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。   当交换机开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP
IP源防攻击IPSG(IP Source Guard
最新发布
lwljh134的博客
02-28 1048
IP源防攻击IPSG(IP Source Guard)是一种基于二层接口的源IP地址过滤技术,它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。
神州数码交换机DHCP服务器的配置.pdf
06-26
实验三十五、交换机 DHCP 服务器的配置 一、 实验目的 1、 了解 DHCP 原理; 2、 熟练掌握交换机作为 DHCP 服务器的配置方法; 3、 了解该功能的广泛应用。 二、 应用环境 大型网络一般都采用 DHCP 协议作为地址分配的方法, 需要为网络购置多台 DHCP 服务 器放置在网络的不同位置。为减轻网络管理员和用户的配置负担,我们可以将支持 DHCP交换机配置DHCP 服务器。 三、 实验设备 1、 DCRS-7604/6808/5526S/3926S 交换机 1 台 2、 PC 机 1-3 台 3、 Console 线 1 根 4、 直通网线若干 四、 实验拓扑 五、 实验要求 为处于不同 VLAN 的 PC 机设置 DHCP 服务器。 在交换机上划分两个基于端口的 VLAN:VLAN100,VLAN200。 VLAN IP 端口成员 100 192.168.100.1/24 1~8 200 192.168.200.1/24 9~16 配置两个地址池: PoolA (network 192.168.100.0) PoolB (network 192.168.20
配置DHCP Snooping功能
06-19
配置DHCP Snooping功能
DHCP Snooping解决DHCP服务器问题.doc
01-07
网络的普及与网络技术的成熟,现在的人越离不开网络,个人的手、电脑、智能家居设备等都需要网络,我们的这些用网的设备无论是在在访问Internet网,还是局域网内部通信都离开不了IP地址的支持,IP地址就是这些硬件在网络上互相交互信息时用来区分彼此的"名字",无论你是使用IPv6还是IPv4,都需要给你的网络设备分配一个对应的地址。
IPSG(IP Source Guard):IP源防攻击
China-P的博客
10-23 3022
4.1 PC1-PC2连接SW1,SW1上联口G0/01与核心交换机SW2 G0/0/1相连。绑定表生产后,IPSG绑定表向指定的接口或VLAN下发ACL,由ACL来匹配IP报文。4.3 SW1配置 user-bind或DHCP Snooping,添加上联口G0/0/1为信任端口。SW1下的终端,只能通过SW2获取IP地址,防止恶意主机伪造合法主机的IP地址攻击网络(防止DHCP攻击和ARP攻击)2.1 利用绑定表去匹配二层接口收到的IP报文,只有匹配绑定表才可以通过,否则丢弃。
IP Source Guard
zdl244的博客
11-22 4512
IP Source Guard IP Source Guard 功能H3C交换机用于对端口收到的报文进行过滤控制,以防止非法用户报文通过。配置IP Source Guard 功能的端口只转发与绑定表项匹配的报文。 IP Source Guard 绑定表项可以通过手工配置(命令行手工配置产生静态绑定表项)和动态获取(根据 DHCP 的相关表项动态生成绑定表项)两种方式生成。 基于静态绑定的IP ...
【以太网交换安全】--- 交换机流量控制/DHCP Snooping/IP Source Guard
xiaobai729的博客
04-22 5148
文章目录前言一、交换机流量背景二、交换机流量控制两种实现方式2.1 流量抑制(超出部分丢弃)2.2 风暴控制(对有超出部分报文进行阻塞)三、DHCP Snooping概述及实现原理3.1 DHCP信任功能实现原理四、DHCP攻击手段及防范措施4.1DHCP饿死攻击4.2 DHCP SnoopingDHCP中间人攻击五、IPSG技术概述六、流量抑制配置命令七、风暴控制配置命令八、DHCP Snooping功能九、IPSG配置命令 前言 以太网交换安全相关知识点总结完毕,接下来开始综合拓扑实验,本文章引用了华
锐捷交换机——MAC地址绑定、IP source guard
君逍遥o
10-12 3352
用户网关在核心交换机上,核心交换机创建DHCP Server,接入交换机下联PC使用动态DHCP获取IP地址,为了防止内网用户私设IP,需要实施IP Source Guard功能,对于私设IP地址的用户不让访问外网。
开启Cisco交换机IP Source Guard功能
12-09
通过在设备接入用户侧的端口上启用 IP Source Guard 功能,可以对端口收到的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性...
安全-IPSG(华为命令)
L
06-27 2417
IPSG IPSG是IP Source Guard的简称。IPSG可以防范针对源IP地址进行欺骗的攻击行为。 背景:随着网络规模越来越大,基于源IP的攻击也逐渐增多。一些攻击者利用欺骗的手段获取到网络资源,取得合法使用网络资源的权限,甚至造成被欺骗者无法访问网络,或者信息泄露。IPSG针对基于源IP的攻击提供了一种防御机制,可以有效的防止基于源地址欺骗的网络攻击行为。 随着网络规模越来越大,基于源IP的攻击也逐渐增多。一些攻击者利用欺骗的手段获取到网络资源,取得合法使用网络资源的权限,甚至...
【锐捷交换】接入交换机配置DHCP Snooping + IP Source guard + ARP-check
CyclingLife的博客
07-04 2946
锐捷接入交换机配置DHCP Snooping + IP Source guard + ARP-check
配置DHCP Snooping实验:保护网络中的DHCP服务和防止欺骗攻击“
傻傻的心动的博客
06-10 4204
"配置DHCP Snooping实验:保护网络中的DHCP服务和防止欺骗攻击"
锐捷学习笔记-18(IP Source Guard
zhaoxx22的博客
07-20 478
ip source binding 0000.0000.0001 vlan 1 172.16.1.1 ip-mac /IP+Mac添加。ip source binding 0000.0000.0001 vlan 1 172.16.1.1 ip-only /仅IP添加。接口下开启ip verify sourceIP-Only或IP+Mac方式)port-security,配置即意味着基于IP+MAC进行检查。
DHCP 中继&Snooping解释以及配置
weixin_41903258的博客
11-08 2545
DHCP 中继、snooping 的一些配置
DHCP 安全-- DHCP Snooping技术应用
IT界的无名小卒
02-15 1575
关于DHCP在之前的文章中也提到过,它是为网络中的终端提供IP地址的服务。DHCP为网络管理员在IP地址分配任务上减轻了很大的压力,而且DHCP服务也简化了对IP地址分发的管理。管理员可以很轻松直观地在DHCP服务器上查看IP地址的使用情况。但是DHCP天生有一个缺陷,就是在DHCP服务器与客户端在IP地址请求和分发的过程中,缺少认证机制。所以网络中如果出现一台非法的DHCP服务器为客户端提供非法的IP地址,那么就黑客就可以做一些中间人攻击的操作,给网络的安全性带来了隐患。为了消除这一隐患,我们可以通过DH
交换高级特性 —— DHCP snoopingDHCP欺骗泛红攻击)
qq_62311779的博客
08-17 3791
一、DHCP欺骗泛洪攻击 (1)钓鱼网站简介: (2)DNS的作用: (3)DHCP中继技术简介: (-1)核心交换机DHCP配置命令: (4)dhcp欺骗详解: 第一步:pc2作为恶意攻击者会耗尽DHCP Sever的地址池,让DHCP Server不能给p c1分配地址池 第二步:pc2充当DNS和DHCP欺骗pc1 (4-1)图解: 二、防御——DHCP snooping (1)开启DHCP SNOOPING之后的效果: (2)配置案列.........
锐捷交换机如何配置DHCP snooping
05-26
锐捷交换机配置 DHCP Snooping 的具体步骤如下: 1. 开启 DHCP Snooping 功能 ``` enable dhcp snooping ``` 2. 配置 DHCP Snooping 信任端口 ``` interface <interface> dhcp snooping trust ``` 3. 配置 DHCP Snooping 选项 ``` dhcp snooping option82 ``` 4. 配置 DHCP Snooping 绑定表 ``` dhcp snooping binding-table vlan <vlan-id> mac <mac-address> ip <ip-address> interface <interface> ``` 其中,<interface> 是指需要开启 DHCP Snooping 功能的接口,<vlan-id> 是指对应的 VLAN ID,<mac-address> 是指客户端的 MAC 地址,<ip-address> 是指客户端的 IP 地址。 以上是锐捷交换机配置 DHCP Snooping 的基本步骤,具体可以根据实际情况进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值