DAI、DHCP SNOOPING、ip source guard、IPSG

switch  3560上做安全：

模型：R1 and R2 (dhcp client )-->SW 3560-->R3（dhcp server）所有设备在同一个VLAN.

R1 and R2上开 ip address dhcp

R3上做dhcp pool

1. 此时R1、R2可以拿到ip address
2. 当SW开启ip dhcp snooping和 ip address snooping vlan 20，拿不到地址，当然，在连接R3(DHCP Server这个接口已经敲 ip dhcp snooping trust)
3. 有三种方式可以解决
   1. 在R3对应的SW接口上敲ip dhcp relay information trusted
   2. 在所有untrust的SW接口上敲 ip dhcp snooping information option allow-untrusted
   3. 或者在SW的全局下敲no ip dhcp snooping information option
4. 当做IPSG=ip source guard的时候。R1先用dhcp获得地址，ping R2，看arp 表象，arp是全的。此时可以在SW上开启IPSG 的这个feature。可以有两种方式
   1. ip 过滤 命令为ip verify source
   2. ip+mac 过滤 命令为ip verify source port-security
   3. 最后还要在untrust接口上敲switch port-security
5. 当做DAI的时候。dynamic arp inspection。 命令为ip arp inspection vlan 10。同上，测试方法为，修改R1的地址和MAC地址，然后ping R2，都会被干掉。
6. 问题1：两种的表现方式都是一样的，那两种技术的区别本质在哪。DAI是过滤ARP的欺骗的。IPSG是做源检测的。也有可能测试的方法不对。原因是当R1先用dhcp获取地址，然后ping R2。此时arp表对的。然后修改R1的地址。此时R1的ARP的cache没有了。所以要发ARP request。此时被DAI技术干掉
7. 那么什么方式的测试，DAI技术做不到，而IPSG可以做到呢？？？未知
8. 两者的共同点：都可以使用DHCP snooping binding database来做动态处理，也可以手动写静态表象。IPSG不同于DAI的是，IPSG还有自己的表象，是ip source binding database
9. 检查命令：show ip dhcp snooping binding ，show ip verify source ， sh ip source binding dhcp-snooping 。

 

转载于:https://blog.51cto.com/anysec/927421