DHCP高阶应用系列之《dhcp-snooping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址》

已于 2022-07-18 19:50:32 修改
阅读量2.4k 收藏 17
点赞数 5
分类专栏: DHCP高阶应用系列 文章标签: 运维 网络安全
于 2022-07-18 16:06:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44645270/article/details/125299314
版权

DHCP高阶应用系列之《dhcp-snoping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址》

前言

  为什么想写这个系列的文章呢?人生在世过半时间都在与网络打交道,一直热爱甚至有点沉迷,沉淀积累了许多年也掌握不少经验和技巧,而这些经验和技巧的获得离不开互联网上各路网友发布过的经验技术文章和行内网友的启发,而对于我自己的积累却从来没整理过,也不热衷发论文。但人总得有点BT精神,不能一味地索取不分享。暑假遇上疫情,无所事事那就写吧,有时会想万一某天睡着睡着就起不来了是不是就可惜了呢?

  第一章 《dhcp-snoping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址》
  第二章 《dhcp snooping + DAI(arp detection)杜绝ARP攻击》
  第三章 《dhcp snooping + dhcp option 82获取设备接入信息》
  第四章 《dhcp vander class按终端类型分配地址》
  第四章 《dhcp option 识别终端类型》
  第五章 《dhcp option 249,121,33下发路由》
  第六章 《IPoE认证与 dhcp option 60》

概述 DHCP Snooping + IPSG

  DHCP服务器给客户端分配IP地址,接入交换机开启DHCP Snooping后可以拒绝非法DHCP服务器并 嗅探并记录IP地址分配情况以及客户端的接入信息,在交换机接口开启IPSG源地址防护后,交换机根据嗅探记录表中的IP-MAC关系检查进入交换机接口的报文的IP和MAC是否匹配,匹配则转发,否则丢弃,强制客户端只有通过DHCP服务器获取到的IP地址才能正常通过交换机,拒绝用户随意修改IP地址造成冲突。

  展示应用前先简单介绍所涉及的知识,帮助读者理解。

DHCP(动态主机配置协议)

  DHCP作为古老的网络协议,可用作自动为网内的设备制动分配IP地址,但它的应用绝不仅限于分配IP地址,绝大不部分人对DHCP的认知仅停留在分配IP地址、网关和DNS,当然大部分网络设备提供的DHCP服务功能也就这个水平了。往后的章节会配合Miktotik RouterOS 的DHCP服务实现各种功能。

最低0.47元/天 解锁文章
weixin_44645270
关注
  • 5
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cisco DHCP Snooping + IPSG 功能实现
weixin_34112030的博客
04-25 1323
    什么是DHCPDHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,前身是BOOTP协议, 使用UDP协议工作,常用的2个端口:67(DHCP server),68(DHCP client)。DHCP通常被用于局域网环境,主要作用是 集中的管理、分配IP地址,使client动态的获得IP地址、Gateway...
H3C交换机禁止从非法DHCP获取到IP的配置方法
02-06
H3C交换机禁止从非法DHCP获取到IP的配置方法
DHCP Snooping IPSG
艺博东的博客
08-10 7787
祸兮福所倚,福兮祸所伏。 文章目录一、DHCP二、拓扑三、基础配置四、策略配置五、DHCP中继六、DHCP Snooping 一、DHCP Dynamic Host Configuration Protocol 名称:DHCP动态主机设置协议 作用:帮助网络管理员管理及自动分配IP地址的网络协议 1、总计包类型 (1)DHCP DISCOVER消息----广播----寻找DHCP服务器 (2)DHCP OFFER消息----广播----回应客户端我DHCP服务器在这呐(同时给出能给你的IP地址和GW,域.
HUAWEI DHCP Snooping-DAI-IPSG
qq_55707182的博客
03-30 2332
为了防御中间人攻击,可以在Switch上部署动态ARP检测DAI(Dynamic ARP Inspection)功能。动态ARP检测是利用绑定表来防御中间人攻击的。当设备收到ARP报文时,将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。 使能了DHCP Snooping的设备将用户DHCP客户端)的DHCP请求报文通过信任接口发送给合法的DHCP服务器..
配置IPSG防止主机私自更改IP地址上网(动态绑定)
m0_60444349的博客
09-29 1820
另外配置ARP表项严格学习(只有本设备主动发送的请求报文的应答报文才能触发本设备学习ARP)可以有效防止网络中的ARP欺骗(因学习伪造的ARP报文而错误更新设备ARP表项,造成合法用户无法正常通信)或ARP攻击(因处理大量的ARP报文导致CPU资源负荷过重,ARP表项资源被耗尽)、ARP表项固化(网关防护,有效防止中间人欺骗,需在全局或VLAN视图下使能此功能)、ARP MISS消息限速、禁止接口ARP学习等等。所以,为了避免IP地址冲突,可以在部署IPSG的同时配置DAI。后,接打印机设备的无法连通。
思科交换机 DHCP SNOOPING、DAI、IPSG方案
weixin_33749131的博客
08-21 857
一、关于DHCP的欺骗***1、一个DHCP的***者,同样可以在一个VLAN中提供SERVER服务2、DHCP***者会应答DHCP客户端的发送请求信息3、***者会分配IP地址等信息和默认网关给DHCP客户端说明:在一个VLAN中存在多个DHCP服务器可能会造成地址分配冲突问题二、解决DHCP的欺骗***(DHCP SnoopingDHCP监听)1、DHCP Snoopi...
DHCP SNOOPING + IPSG配置示例.docx
11-17
DHCP SNOOPING 是一种动态主机配置协议,它可以根据 DHCP 服务器的回复报文来生成绑定表,防止恶意主机盗用合法主机的 IP 地址来仿冒合法主机。IPSG(IP Source Guard)则是一种基于二层接口的源 IP 地址过滤技术,...
DHCP snooping解决私接DHCP服务器问题.doc
02-17
特别是对于做桌面运维的童鞋应该深有体会,你又不可能不让他接,让他接又可能会导致其他的终端设备不能正确的获取到DHCP服务器分配的ip地址,这是一件令人头疼的事儿,不过,有了DHCP snooping以后,可以很好的解决...
DHCP Snooping解决DHCP服务器问题.doc
01-07
网络的普及与网络技术的成熟,现在的人越离不开网络,个人的手、电脑、智能家居设备等都需要网络,我们的这些用网的设备无论是在在访问Internet网,还是局域网内部通信都离开不了IP地址的支持,IP地址就是这些硬件在...
内网非法DHCP服务器查找
05-10
Q 内网存在两台DHCP ,其中有一台时非法DHCP ,导致内网部分机器从非法DHCP上自动获取IP,无法上网,无法访问内网共享。找出幕后黑手 和 彻底解决此问题
解决IP地址冲突的完美方法--DHCP SNOOPING
03-26
解决IP地址冲突的完美方法--DHCP SNOOPING 使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING功能。 例子: version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption service compress-config ! hostname C4-2_4506 ! enable password xxxxxxx! clock timezone GMT 8 ip subnet-zero no ip domain-lookup ! ip dhcp snooping vlan 180-181 // 对哪些VLAN 进行限制 ip dhcp snooping ip arp inspection vlan 180-181 ip arp inspection validate src-mac dst-mac ip errdisable recovery cause udld errdisable recovery cause bpduguard errdisable recovery cause security-violation errdisable recovery cause channel-misconfig errdisable recovery cause pagp-flap errdisable recovery cause dtp-flap errdisable recovery cause link-flap errdisable recovery cause l2ptguard errdisable recovery cause psecure-violation errdisable recovery cause gbic-invalid errdisable recovery cause dhcp-rate-limit errdisable recovery cause unicast-flood errdisable recovery cause vmps errdisable recovery cause arp-inspection errdisable recovery interval 30 spanning-tree extend system-id ! ! interface GigabitEthernet2/1 // 对该端口接入的用户进行限制,可以下联交换机 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/2 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/3 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 ! interface GigabitEthernet2/4 ip arp inspection limit rate 100 arp timeout 2 ip dhcp snooping limit rate 100 --More-- 编者注:对不需要明确地址的所有人的时候是一个很好的解决办法。另外,可以查看www.cisco.com的 IP Source Guard Similar to DHCP snooping, this feature is enabled on a DHCP snooping untrusted Layer 2 port. Initially, all IP traffic on the port is blocked except for DHCP packets that are captured by the DHCP snooping process. When a client receives a valid IP address from the DHCP server, or when a static IP source binding is configured by the user, a per-port and VLAN Access Control List (PACL) is installed on the port. This process restricts the client IP traffic to those source IP addresses configured in the binding; any IP traffic with a source IP address other than that in the IP source binding will be filtered out. This filtering limits a host's ability to attack the network by claiming neighbor host's IP address.
配置IPSG防止DHCP动态主机私自更改IP地址示例.pdf
06-18
配置IPSG防止DHCP动态主机私自更改IP地址示例.pdf
20-DHCP-snooping配置(BDCOM交换机配置手册)归类.pdf
11-24
通过以上配置,BDCOM交换机可以有效地管理和保护网络中的DHCP服务,确保设备能够从合法的DHCP服务器获取IP地址,并防止恶意用户通过ARP或IP欺骗进行攻击。此外,定期备份绑定关系以及实时监控网络状态,有助于在网络...
dhcp snooping+IPSG的一些理解
weixin_34007291的博客
10-29 998
dhcp snooping是一种dhcp安全特性,能够过滤来自网络中主机或其他设备的非信任dhcp报文,通过建立并维护dhcp binding表. DHCP snooping 建立DHCP binding表,其中包括客户端IP地址、MAC地址、端口号、VLAN编号、租用和绑定类型等信息。交换机支持在每个VLAN基础上启用DHCP snooping特性。通过这种特性,交换机能...
交换安全三宝(DHCP Snooping+IPSG+DAI)简单实验
weixin_33736649的博客
05-28 684
1 实验拓扑图 2 DHCP Snooping2.1 基本DHCP Snooping配置:C2960#show running-config Building configuration...!ipdhcp snooping vlan 10ipdhcp snooping!interface FastEthernet0/1description ---Connected...
DHCP_SNOOPING_ DAI_IPSG实验
weixin_33830216的博客
09-26 176
配置R1为DHCPServer,R2、R4为DHCPClient,R3为静态IP地址:R1(config)#intf0/0R1(config-if)#ipadd172.16.1.1255.255.255.0R1(config-if)#noshR1(config)#servicedhcpR1(config)#ipdhcppoolDHCP_POOLR1(conf...
DHCP Snooping + DAI + IPSG
大任的网络专栏
05-03 5001
DHCP Snooping + DAI + IPSG   (2012-08-28 14:19:02) 转载▼ 标签:  监听   dhcp   snooping   dai   ipsg 分类: Cisco交换入门 DHCP Snooping + DAI + IPSG实验 因为DHCP
DHCP snooping + IPSG准入机制
RSQ博客
10-23 6642
文章目录1 DHCP snooping2 IPSG(IP Source Guard)2.1 配置基于VLAN的IP Source Guard2.2 配置基于接口的IP Source Guard 简化版拓扑图: 设备: 华为S2700 华为S5700 PC1 IP:10.0.0.10/24 mac:0000-1111-2222 1 DHCP snooping DHCP Snooping大致具有...
22、华为 华三中小型企业网络架构搭建 【内网安全部署之DHCP Snooping+DAI+IPSG 防止恶意DHCP与IP冲突等】
网络之路Blog(其他平台同名)
02-25 1988
拓扑 拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可) 实现控制只能获取企业内部合法的DHCP服务分配的地址,而其余的DHCP服务器则不能通过。 说明:为什么需要该技术呢,因为DHCP的工作原理是最先响应的服务器,PC就获取该服务器分配的IP地址,这样的话有些恶意的人把网关指向自己的电脑,然后通过抓包工具等实现抓包分析等功能,这样造成不安全,另外就是网段不一致了,导致访问公司内网或外网出现问题,所以我们必须杜绝该问题的出现。 正常情况下,内网的用户都是通过内部部
packet tracer DHCP snooping 怎么和IPSG配置
最新发布
05-26
DHCP SnoopingIPSG都是网络安全中的重要功能,它们可以一起使用以增强网络安全性。 DHCP Snooping是一种技术,用于防止恶意DHCP服务器攻击网络。它通过在交换机上捕获和分析DHCP报文来实现这一点。DHCP Snooping会记录每个端口连接的设备的MAC地址和IP地址,然后将其与DHCP响应消息中的源MAC地址进行比较,以确保DHCP响应消息来自于授权的DHCP服务器。如果DHCP响应消息来自于未授权的DHCP服务器DHCP Snooping会将该消息丢弃。 IPSG(IP Source Guard)是一种技术,用于防止IP地址欺骗攻击。它通过检查进入网络的数据包的源IP地址和端口来实现这一点。IPSG会记录每个端口连接的设备的MAC地址和IP地址,然后将其与进入该端口的数据包的源IP地址进行比较,以确保数据包来自于授权的设备。如果数据包来自于未授权的设备,IPSG会将其丢弃。 为了将DHCP SnoopingIPSG配置在同一个网络中,您需要按照以下步骤进行操作: 1. 首先,在交换机上启用DHCP Snooping功能,并为每个端口指定正确的DHCP服务器。 2. 然后,在交换机上启用IPSG功能,并为每个端口指定正确的设备。 3. 最后,您需要在交换机上配置ACL(访问控制列表),以允许授权的设备通过IPSG,并阻止未授权的设备通过IPSG。 请注意,DHCP SnoopingIPSG都需要正确配置才能正常工作,并且需要不断更新以保持网络安全。如果您不确定如何正确配置这些功能,请咨询网络安全专家或网络供应商的技术支持人员。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值