dhcp snooping、ARP防护、

最新推荐文章于 2024-08-05 18:56:17 发布
最新推荐文章于 2024-08-05 18:56:17 发布
阅读量951 收藏 2
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/tcheng/p/6085204.html
版权

应用场景

无线客户端流动性很大和不确定,比如在外来人员比较多的地方:广场、大厅、会议室和接待室等等。使用该方案可以有效地避免因为无线端出现私设IP地址导致地址冲突或者客户端中ARP病毒发起ARP攻击的情况。

优点:增加无线的安全性,防止无线客户端私设IP地址,防止无线网络因为arp攻击而瘫痪。

缺点:对无线设备的性能要求高,需要消耗无线设备的运行资源,需要增加额外的配置

功能简介:

在无线网络中,由于接入无线网络用户的多样性及不确定性,使得在无线端极有可能出现私设IP地址或者客户端中ARP病毒发起ARP攻击的情况,在无线设备上部署防ARP攻击功能,可以有效解决这些问题。

一、组网需求

防止无线用户私自配置IP地址导致IP地址冲突或者使用ARP攻击软件导致网络瘫痪

二、组网拓扑

 

 

三、配置要点

1、AC-1开启dhcp snooping并且配置信任端口

2、配置ARP防护功能

3、清除arp及 proxy_arp表

四、配置步骤 

1、AC-1开启dhcp snooping并且配置信任端口

AC-1(config)#ip dhcp snooping ----->全局启用dhcp snooping

AC-1(config)#interface gigabitEthernet 0/1

AC-1(config-if-GigabitEthernet 0/1)#ip dhcp snooping trust ----->上联接口配置为信任端口

 

2、配置ARP防护功能

1)未开启Web认证功能时

AC-1(config)#wlansec 1

AC-1(config-wlansec)#ip verify source port-security ----->开启IP防护功能

AC-1(config-wlansec)#arp-check ----->开启ARP检测功能

2)开启Web认证功能时

AC-1(config)#web-auth dhcp-check ----->开启web认证下的dhcp检测功能(IP防护功能类似)

AC-1(config)#wlansec 1

AC-1(config-wlansec)#arp-check ----->ARP检测功能

 

3、清除arp及 proxy_arp表

AC-1#clear arp-cache

AC-1#clear proxy_arp

五、注意事项

1.   打开ARP Check检测功能可能会使相关安全应用的策略数/用户数减少。

2.   无法在镜像的目的口上配置arp-check功能。

3.   无法在DHCP Snooping信任端口上配置ARP Check功能。

4.   无法在全局IP+MAC的例外口配置ARP Check功能。

六、功能验证

1、无线用户连接到无线网络通过dhcp获取到IP地址被添加到dhcp snooping数据库内。

Ruijie#show ip dhcp snooping binding

Total number of bindings: 1

NO.     MACADDRESS      IPADDRESS   LEASE(SEC)  TYPE                    VLAN  INTERFACE

-----    -----------------   ------------   ------------  ----------------   ------  --------------

1          0811.9692.244C  172.16.1.4     86394          DHCP-Snooping  10       WLAN 1

 

2、手动配置无线网卡IP地址,无法ping通网关。

 

 

3、将无线网卡IP静态配置为其他正常用户的IP地址,其他正常用户不会提示地址冲突。

 

转载于:https://www.cnblogs.com/tcheng/p/6085204.html

weixin_34198762
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
锐捷(二十)DHCP Snooping + IP Source guard + ARP-checkARP欺骗方案
weixin_51338719的博客
02-11 1245
本文主要介绍锐捷的DHCP Snooping + IP Source guard + ARP-checkARP欺骗方案
生产环境中办公网络问题排查及解决方案_对dhcp分配的地址进行arp保护(动态绑定)(1)
2301_82056337的博客
04-16 453
ap在没有修改过配置的情况,出现了中断且无法重新连上ap的wifi,显示无法加入该网络,重启ap可恢复网络一段时间,3个小时左右后会出现同样情况。背景:咱们的网络有点乱,服务器,PC,测试设备,无线,有线,都混在一起,并且掩码是可怕的255.255.0.0。4、AP交换机和路由之间物理连线,AP和交换机之间物理连线,设备电源POE供电不稳等;1、DHCP地址池满,无法下发新地址,租约过期续期失败,路由设备负载过高等;1.出现问题的时候,ap是一台一台开始中断,直到所有中断。
动态ARP检测原理及应用
正月十六工作室
06-25 8532
动态ARP检测原理及应用 在一个局域网中,网络安全可以通过多种方式来实现,而采取DHCP snoopingDHCP防护)及DAI检测(ARP防护)这种技术,保护接入交换机的每个端口,可以让网络更加安全,更加稳定,尽可能的减小中毒范围,不因病毒或木马导致全网的瘫痪。 下面将详细的对这种技术的原理和应用做出解释。 一、 相关原理及作用 1、 DHCP snooping原理 DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来
ARP
printf_mylife的专栏
02-08 1659
ARP作用 ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议。 在局域网中,当主机或其它网络设备有数据要发送给另一个主机或设备时,它必须知道对方的网络层地址(即IP地址)。但是仅仅有IP地址是不够的,因为IP数据报文必须封装成帧才能通过物理网络发送,因此发送站还必须有接收站的物理地址,所以需要一个从IP地址到
dhcp,ip source guard,arp detection,acl
guaiguaigirlma的专栏
01-09 2142
1.介绍   DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。   当交换机开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP
锐捷交换机 DHCP snooping
weixin_55444377的博客
12-07 1220
使用ARP-check功能校验所有ARP报文的正确性。如果合法用户获取IP地址后试图进行ARP欺骗,或者是非法用户私自配置静态的IP地址,他们的ARP校验都将失败,这样的用户将无法使用网络。通过IP Source guard功能将DHCP Snooping表的每个终端的IP&MAC信息写入交换机的硬件表项(类似端口安全的绑定);DHCP Snooping 阻止非法 DHCP 服务器为局域网用户提供 IP 地址。DHCP Snooping 阻止非法 DHCP 服务器为局域网用户提供 IP 地址。
ip dhcp snooping.docx
11-19
在这样的配置下,网络将能够有效地防止用户私设IP地址,同时阻止ARP欺骗,因为IP Source Guard配合ARP-check功能可以阻止未通过DHCP获得IP地址的设备接入网络。对于那些需要使用静态IP的设备,管理员可以在IP Source...
DHCP Snooping功能的详细分析.doc
04-06
当客户端成功获取IP地址后,交换机会在DHCP监听绑定表中记录相关信息,如客户端MAC地址、IP地址、端口号、VLAN编号等,这些信息可用于后续的安全控制措施,如IP源防护(IP Source Guard,IPSG)和动态ARP检测...
ip dhcp snooping分析.pdf
11-28
IP DHCP Snooping和IP Source Guard是两种用于增强网络安全性的重要技术,它们主要用于防止IP地址欺骗和ARP欺骗,确保网络流量的合法性。本文将详细介绍这两种技术及其应用场景、配置方法。 IP DHCP Snooping是一种...
解决IP地址冲突的完美方法--DHCP SNOOPING
03-26
解决IP地址冲突的完美方法--DHCP SNOOPING 使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING功能。 例子: version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption service compress-config ! hostname C4-2_4506 ! enable password xxxxxxx! clock timezone GMT 8 ip subnet-zero no ip domain-lookup ! ip dhcp snooping vlan 180-181 // 对哪些VLAN 进行限制 ip dhcp snooping ip arp inspection vlan 180-181 ip arp inspection validate src-mac dst-mac ip errdisable recovery cause udld errdisable recovery cause bpduguard errdisable recovery cause security-violation errdisable recovery cause channel-misconfig errdisable recovery cause pagp-flap errdisable recovery cause dtp-flap errdisable recovery cause link-flap errdisable recovery cause l2ptguard errdisable recovery cause psecure-violation errdisable recovery cause gbic-invalid errdisable recovery cause dhcp-rate-limit errdisable recovery cause unicast-flood errdisable recovery cause vmps errdisable recovery cause arp-inspection errdisable recovery interval 30 spanning-tree extend system-id ! ! interface GigabitEthernet2/1 // 对该端口接入的用户进行限制,可以下联交换机 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/2 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/3 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/4 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 --More-- 编者注:对不需要明确地址的所有人的时候是一个很好的解决办法。另外,可以查看www.cisco.com的 IP Source Guard Similar to DHCP snooping, this feature is enabled on a DHCP snooping untrusted Layer 2 port. Initially, all IP traffic on the port is blocked except for DHCP packets that are captured by the DHCP snooping process. When a client receives a valid IP address from the DHCP server, or when a static IP source binding is configured by the user, a per-port and VLAN Access Control List (PACL) is installed on the port. This process restricts the client IP traffic to those source IP addresses configured in the binding; any IP traffic with a source IP address other than that in the IP source binding will be filtered out. This filtering limits a host's ability to attack the network by claiming neighbor host's IP address.
医院DHCPARP欺骗的解决方案
11-28
### 医院DHCPARP欺骗的解决方案及...综上所述,面对DHCP欺骗和ARP欺骗等网络威胁,医院应采取多层次的安全防护措施,包括网络结构调整、技术手段应用以及持续的网络监控等,以确保网络安全并提供高质量的医疗服务。
华为 ME60 V800R010C10SPC500 配置指南 - DHCP Snooping配置
04-04
2. 在二层组网场景下,DHCP Snooping绑定表不支持ARP探测老化功能,因此必须避免在二层环境中使用此功能。 3. BD绑定VSI(Bridge Domain Virtual Subinterface)场景下,若客户端从网络侧(PW)接入,DHCP Snooping...
DHCP高阶应用系列之《DHCP Snooping + DAI(ARP Detection)杜绝ARP攻击》
weixin_44645270的博客
07-22 2106
本系列第一章中介绍过DHCP Snooping + IPSG限制用户随意修改IP地址信息,既然用户只能使用由DHCP服务器分配的IP地址为什么还需要对ARP进行限制呢?源于IPSG是对IP协议的数据包进行合法性校验,而ARP协议的数据包不在IPSG的处理范围内,ARP协议作为以太网通信里的一个重要协议,决定主机发送的数据能不能被交换机正确转发。DAI可以通过DHCP Snooping生产的IP-MAC表项对进入交换机的ARP数据包进行合法性校验,保证LAN内所有主机及路由器网关等设备ARP缓存信息不被篡改.
ARP病毒攻击技术分析与防御(补充知识)
kv_faq的专栏
08-31 1006
ARP病毒攻击技术分析与防御--  ARP病毒攻击技术分析与防御一、ARP Spoofing攻击原理分析在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。用伪造源MA
Cisco DHCP Snooping + Dynamic ARP Inspection(DAI)
IT经验分享
06-23 7389
在cisco网络环境下,boot request在经过了启用DHCP SNOOPING特性的设备上时,会在DHCP数据包中插入option 82的选项(具体见RFC3046) 这个时候,boot request中数据包中的gateway ip address:为全0,所以一旦dhcp relay 设备检测到这样的数据包,就会丢弃。 虽然dhcp snooping是用来防止非法的dhcp ser
ARP安全配置与管理——2
热门推荐
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
05-14 1万+
配置防ARP欺骗攻击ARP表项攻击、网关攻击、中间人攻击是ARP欺骗攻击的主要应用场景。下表列出了针对不同ARP欺骗攻击类型所提供的不同解决方案,以增强网络抗击ARP欺骗攻击的能力。在这些配置防ARP欺骗攻击安全特性中,各项配置均是并列关系,无严格配置顺序,也并不是要求配置所有的ARP安全特性方案,用户可根据需要选择配置一种或多种方案。一、配置ARP表项固化为了防止ARP地址欺骗攻击,可以配置AR...
DHCP Snooping,Dynamic ARP Inspection实现
weixin_34029949的博客
01-23 109
DHCP监听将交换机端口划分为两类: ●非信任端口:通常为连接终端设备的端口,如PC,网络打印机等 ●信任端口:连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口 一、DHCP snooping 技术介绍 DHCP监听(DHCP Snooping)是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性...
java笔记 mybatis 基本增删改
最新发布
qq_63095129的博客
08-05 724
在pom.xml文件中添加依赖。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值