cisco的三种防范欺骗***特性:DHCP探测 源IP地址防护 动态ARP检查
DHCP探测:DHCP探测被启用时,交换机端口被分为可信和不可信的;合法的DHCP服务器位于可新端口,其他多属于不可信。
DHCP探测工作原理:拦截来自不可信端口的所有DHCP请求,然后向整个VLAN泛洪。任何来自不可信任端口的DHCP应答都将被丢弃,同时相应的交换机端口将自动关闭,进入ERRDISABLE状态。
DHCP探测:DHCP探测被启用时,交换机端口被分为可信和不可信的;合法的DHCP服务器位于可新端口,其他多属于不可信。
DHCP探测工作原理:拦截来自不可信端口的所有DHCP请求,然后向整个VLAN泛洪。任何来自不可信任端口的DHCP应答都将被丢弃,同时相应的交换机端口将自动关闭,进入ERRDISABLE状态。
配置命令:
switch(config)#ip dhcp snooping 启用DHCP探测
ip dhcp snooping vlan vlan-id 指定DHCP探测的VLAN 这里可以设置VLAN号范围
interface type mod/num
ip dhcp snooping trust 默认情况下,所有端口多是不可信任的,需要设置可信任端口
interface type mod/num
ip dhcp snooping limit rate rate 设置DHCP分组速率1-2048
查看 show ip dhcp snooping [binding]显示所有已监听到的DHCP帮定
switch(config)#ip dhcp snooping 启用DHCP探测
ip dhcp snooping vlan vlan-id 指定DHCP探测的VLAN 这里可以设置VLAN号范围
interface type mod/num
ip dhcp snooping trust 默认情况下,所有端口多是不可信任的,需要设置可信任端口
interface type mod/num
ip dhcp snooping limit rate rate 设置DHCP分组速率1-2048
查看 show ip dhcp snooping [binding]显示所有已监听到的DHCP帮定
源IP地址防护
源IP地址防护通过DHCP欺骗数据库以及静态源IP地址绑定项来完成这项工作
启用它后,交换机将获得使用DHCP的主机的MAC地址和IP地址。
源IP地址防护通过DHCP欺骗数据库以及静态源IP地址绑定项来完成这项工作
启用它后,交换机将获得使用DHCP的主机的MAC地址和IP地址。
确保交换型网络的安全
1 配置加密密码
2 使用系统棋标
3 禁用不必要或不安全的服务
4 确保交换机控制台的安全
5 确保虚拟终端接入的安全
6 尽可能使用SSH
7 确保SNMP访问的安全
8 确保未用交换机端口的安全
9 确保STP的安全
10 确保CDP的使用安全
1 配置加密密码
2 使用系统棋标
3 禁用不必要或不安全的服务
4 确保交换机控制台的安全
5 确保虚拟终端接入的安全
6 尽可能使用SSH
7 确保SNMP访问的安全
8 确保未用交换机端口的安全
9 确保STP的安全
10 确保CDP的使用安全
转载于:https://blog.51cto.com/wangxiang2010/143095