锐捷(二十)DHCP Snooping + IP Source guard + ARP-check防ARP欺骗方案

最新推荐文章于 2024-07-24 14:19:38 发布
最新推荐文章于 2024-07-24 14:19:38 发布
阅读量1.2k 收藏 14
点赞数 12
分类专栏: 锐捷数通实验 文章标签: tcp/ip 网络 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51338719/article/details/136097766
版权
文章详细描述了如何通过在接入层交换机上配置DHCPSnooping、IPSourceguard和ARP-check来防止ARP欺骗,确保用户动态获取的IP地址安全,阻止非法用户利用ARP欺骗攻击网络。
摘要由CSDN通过智能技术生成

        DHCP Snooping + IP Source guard + ARP-check防ARP欺骗方案:在用户PC动态获取IP地址的过程中,通过接入层交换机的DHCP Snooping功能将用户DHCP获取到的,正确的IP与MAC信息记录到交换机的DHCP Snooping软件表;然后通过IP Source guard功能将DHCP Snooping表的每个终端的IP&MAC信息写入交换机的硬件表项(类似端口安全的绑定);最后使用ARP-check功能校验所有ARP报文的正确性。如果合法用户获取IP地址后试图进行ARP欺骗,或者是非法用户私自配置静态的IP地址,他们的ARP校验都将失败,这样的用户将无法使用网络。   

具体配置如下所示:

1、开启DHCP Snooping并将连接DHCP服务器的端口设为信任:

Ruijie>enable     

Ruijie#configure terminal

Ruijie(config)#ip dhcp snooping     

Ruijie(config)#interface gigabitEthernet 0/24

Ruijie(config-if-GigabitEthernet 0/24)#ip dhcp snooping trust

Ruijie(config-if-GigabitEthernet 0/24)#exit

2、连接终端接口开启IP Source Guard:

Ruijie(config)#interface range gigabitEthernet 0/1-16

Ruijie(config-if-range)#ip verify source port-security

3、连接终端接口开启arp-check:

Ruijie(config)#interface range gigabitEthernet 0/1-16

Ruijie(config-if-range)#arp-check

Ruijie(config-if-range)#end

DHCP Snooping + IP Source guard + ARP-check配置完成

天亮之前_ict
关注
  • 12
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
锐捷全网arp欺骗配置案例
04-11
锐捷全网arp欺骗配置案例————LANNS
锐捷(八)DHCP Snooping配置
weixin_51338719的博客
02-01 2280
dhcp snooping工作原理和作用:开启dhcp snooping;获取IP地址。1.dhcp snooping 工作原理:针对某个vlan开启dhcp snooping。.作用:保证客户端从合法的服务器处获取IP地址。记录客户端IP地址与Mac地址的对应关系。
路由器重温——DHCP/DNS服务配置管理-3
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
11-18 1641
DHCP Snooping基础 DHCP Snooping是一种DHCP安全技术,能够有效网络中仿冒DHCP服务器的攻击,保证客户端从合法的服务器获取IP地址,能够记录DHCP客户端IP地址与MAC地址等参数的对应关系进而生成绑定表。 一、DHCPSnooping概述 常见DHCP攻击:DHCP服务器仿冒者攻击、DHCP服务器拒绝服务攻击、仿冒DHCP报文攻击等。DHCPSnooping用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应.
企业网络实验dhcp-snoopingip source check非法dhcp服务器、自动获取ip(虚拟机充当DHCP服务器)、禁手动修改IP
xzzteach的博客
07-13 809
使用copy命令将备份的配置文件(如TXT文本文件)恢复到交换机中。但直接通过命令行界面恢复TXT文本文件可能不是直接支持的,通常需要将文件上传到交换机的flash中,然后通过命令来加载。需要注意的是,如果现实界面中有换行的命令,需要删除换行,否则当使用制作的TXT文本恢复配置时,换行的配置将无法恢复。将显示的信息拷贝到一个TXT文本文件中,从而备份配置文件到维护终端的硬盘中。选择要保存的配置文件,并点击保存按钮,将配置保存到指定的位置1。打开GUI,登录到交换机的管理界面1。登录到交换机的命令行界面。
锐捷交换机 DHCP snooping
weixin_55444377的博客
12-07 1170
使用ARP-check功能校验所有ARP报文的正确性。如果合法用户获取IP地址后试图进行ARP欺骗,或者是非法用户私自配置静态的IP地址,他们的ARP校验都将失败,这样的用户将无法使用网络。通过IP Source guard功能将DHCP Snooping表的每个终端的IP&MAC信息写入交换机的硬件表项(类似端口安全的绑定);DHCP Snooping 阻止非法 DHCP 服务器为局域网用户提供 IP 地址。DHCP Snooping 阻止非法 DHCP 服务器为局域网用户提供 IP 地址。
锐捷交换机——DHCP Snooping
君逍遥o
10-09 1820
接入交换机为S2652G交换机,核心交换机是S5750,S2652G交换机下联PC使用动态DHCP获取IP地址,为了止内网有用户接入非法dhcp服务器,如自带的无线小路由器等,导致正常用户获取到错误的地址而上不了网或地址冲突,要实施DHCP SnoopingDHCP监听)功能。
锐捷交换】接入交换机配置DHCP Snooping + IP Source guard + ARP-check
CyclingLife的博客
07-04 4613
锐捷接入交换机配置DHCP Snooping + IP Source guard + ARP-check
锐捷学习笔记-17(DHCP snooping
zhaoxx22的博客
07-20 416
clear ip dhcp snooping binding 1111.2222.3333 /命令删除dhcp snooping的表项。ip dhcp snooping /开启DHCP snooping的功能。ip dhcp snooping check-giaddr /窥探中继DHCP报文的命令。锐捷DHCP Snooping的配置命令。
DHCP Snooping应用
qq_32044265的博客
05-25 2332
DHCP Snooping技术主要用于DHCP Server仿冒者攻击、DHCP报文泛洪攻击、仿冒DHCP报文攻击和DHCP Server服务拒绝攻击四个场景的DHCP攻击范,以抵御网络中针对DHCP的各种攻击。 DHCP Server仿冒者攻击 如图1所示,DHCP Discover报文是以广播形式发送,无论是合法的DHCP Server,还是非法的DHCP Server都可以接收到DHCP Client发送的DHCP Discover报文。 图1 DHCP Client发送DHCP Dis
ARP欺骗御解决方案技术白皮书
10-09
### ARP欺骗御解决方案技术白皮书关键知识点解析 #### 一、ARP协议与ARP欺骗概述 **ARP协议**,即地址解析协议(Address Resolution Protocol),是一种用于解析IP地址到MAC地址的网络层协议。在局域网中,由于...
锐捷产品-POE+光模块功能应用部署指导手册V2.0
12-29
锐捷网络作为国内知名的网络设备供应商,其产品广泛应用于企业、教育、医疗等多个领域。"POE+光模块功能应用部署指导手册V2.0"是锐捷为用户提供的一个详细的技术指南,旨在帮助用户理解和配置POE+(Power Over ...
计算机应用毕业论文-ARP欺骗技术的研究与实践.doc
07-01
计算机应用毕业论文-ARP欺骗技术的研究与实践 本文是关于计算机应用毕业论文,以ARP欺骗技术的研究与实践为主题,对ARP协议的原理和欺骗攻击方式进行了深入分析,并探讨了几种常见的ARP欺骗攻击方式和检测手段。...
open wrt 固件-AR7241+9287 锐捷
04-30
open wrt 固件-AR7241+9287 锐捷8M
锐捷交换机——安全功能:NFPP
Innocence_0的博客
04-04 986
NFPP作为保护交换机自身CPU不受攻击,不能替代ARP欺骗相关的安全功能,设备缺省支持并打开NFPP,建议保留开启并适当调整。调整原则:1、在接入设备上,通常无需调整,因为非网关设备,没有配置网关IP地址也不会运行一些复杂路由,管理协议等,无需额外消耗CPU,所以很少会遭受攻击。2、在汇聚设备上,默认的基于端口的限速100PPS/攻击200PPS阈值偏小,当端口下用户较多,ARP攻击较多时,可能导致用户正常的ARP报文丢弃,导致用户端丢包,需要放大。
锐捷学习笔记-18(IP Source Guard
zhaoxx22的博客
07-20 632
ip source binding 0000.0000.0001 vlan 1 172.16.1.1 ip-mac /IP+Mac添加。ip source binding 0000.0000.0001 vlan 1 172.16.1.1 ip-only /仅IP添加。接口下开启ip verify sourceIP-Only或IP+Mac方式)port-security,配置即意味着基于IP+MAC进行检查。
华为设备DHCP snooping配置命令
Tony_long7483的博客
08-24 2782
华为设备DHCP snooping配置命令
锐捷学习笔记-24(ARP Check
zhaoxx22的博客
07-21 549
注:PC-A和PC-B通过DHCP获取IP地址,PC-C手工配置IP地址 /IP Source Guard锐捷ARP的配置命令。
ARP欺骗
jklbnm12的博客
11-17 4531
一、实验目的 掌握ARP欺骗攻击 掌握ARP欺骗攻击全过程 学会ARP欺骗 二、实验环境 系统环境:Windows环境,kail环境,XP环境 软件工具:packEth 三、实验原理 ARP缓存 1.在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下图所示是window7主机的ARP缓存表: 在上图所示的ARP缓存表中,IP地址192.168.70.129映射的MAC地址为00-50-56-2b-68-41,下面我们以主体
Linux系统将某ip拉入黑名单
最新发布
weixin_46084533的博客
07-24 576
Linux系统中,如果您想将某个IP地址(例如)拉入黑名单,可以使用iptables或firewalld。下面分别介绍这两种方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

天亮之前_ict

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值