DHCP Snooping,DAI和IP Source Guard是思科交换机提供的一种安全措施,能为企业网络提供应对各种不安全举措或者恶意攻击提供了良好的防范机制。3种机制提供了网络2层和3层的方法,有效防止IP地址欺骗、MAC地址欺骗、DHCP欺骗、ARP欺骗等等。
想象一下,如果黑客在您的网络中利用以上的欺骗技术佯装成一台DHCP服务器甚至是网关,通过各种嗅探工具对内网上的流量进行截取,篡改,发送等等非法操作,这是一件多么可怕的事情!想象一下您的邮箱账号密码,QQ账号密码,微博账号密码等或者甚至通过明文传输的信息都会成为黑客的盘中餐了!
DHCP Snooping
DHCP Snooping技术可以拒绝伪装的DHCP服务器或者DHCP信息,从而防止假冒IP地址和IP欺骗。作为二层的一个安全机制,它可以通过建立一个数据库(DHCP snooping binding database)来记录终端的信息,防止非法的DHCP服务器建立和DHCP信息的传输。
DHCP Snooping binding database包含了以下数据:
- MAC 地址
- IP 地址
- 租约
- 绑定类型
- VLAN ID
- 接口名称及其号码
通过使用这个数据库,交换机能准确定位终端所在位置所处的端口和VLAN,同时可以查到对应的MAC地址、IP地址和绑定类型等信息。探听的过程是通过建立信任区域达到的,思科官方建议,当接入DHCP服务器的接口应该配置为trusted,其他接口配置为not trusted。
DHCP Snooping的配置也是相当简单的,全局模式下打开DHCP Snooping的方法:
(config)#ip dhcp snooping
当开启了DHCP snooping之后默认会开启option 82特性,而其他option特性将会自动关闭。
(config)#ip dhcp snooping information option
(config)#ip dhcp snooping vlan RANGE针对特性VLAN开启DHCP snooping特性
(config)#ip dhcp snooping database {flash://FILEPATH | ftp://FILEPATH | tftp://FILEPATH | rcp://FILEPATH}将snooping binding database 保存到外部数据库位置(config)#ip dhcp snooping database {timeout SEC | write-delay SEC}
(config-if)#ip dhcp snooping trust接口模式下配置为trusted模式,默认为not trusted
(config-if)#ip dhcp snooping rate NO
配置每秒允许的从untrusted接口接收的封包数(pps),如果超过了这个数值,接口将自动进入error-disabled状态
Dynamic ARP Inspection(DAI)
动态ARP监测(DAI, Dynamic ARP Inspection)是用来监控二层和三层来入方向的数据包的,这一点有别于DHCP Snooping监测入方向的二层绑定和IP Source Gurad监测出方向的三层绑定(默认情况下)。同样是利用DHCP Snooping一样的trust port来区别信任端口和非信任端口,所有网络中接交换机、路由器和DHCP服务器的接口都应该划入trust端口列表,其他接口应该划入untrusted接口。
DAI依赖于DHCP Snooping建立的绑定表,并通过检查封包的源MAC地址和IP地址来判断是否是从正确的接口发出的,如果不是则进行丢弃处理。DAI配置非常简单,但是前提是必须要把DHCP Snooping开启。
(config-if)#ip arp inspection trust
把对应端口配置为trust
(config-if)#ip arp inspection limit NO
配置untrusted端口每秒所能接受到的包(pps),如果超过了这个数值,接口将自动进入error-disabled状态
#show ip binding
#show ip arp inspection
IP source guard
IP Source Guard开启的前提也是首先需要先开启DHCP Snooping,因为需要利用DHCP snooping绑定表区分可信任和不可信任的终端。IP Source Guard仅仅在3层上监测出方向的封包,监测封包的源IP地址和MAC地址,如果存在于DHCP snooping binding database则放行,否则则进行丢弃处理。
IP Source Guard可以动态生成针对特性IP地址和MAC地址的ACL,当snooping batabase有更改则它本身也会动态进行更改。
基本配置如下:
(config)#ip source-binding MAC_ADD vlan VLAN_ID IP_ADD interface INT_NAME
手动绑定信息到 IP Source Guard binding database
(config-if)#ip verify source [tracking] [port-security]
接口上启用IP source guard进行IP过滤,如果使用 ‘port-security’ 子命令则还会对MAC地址进行过滤
#show ip source binding
#show ip verify source
文章评论
您好。。弱弱问下..dhcp snooping的端口配置命令trusted是否只需应用到DHCP server上,其他都untrust?
另外IP source guard那条全局的命令“手动配置”,一定需要配置的嘛?
谢谢!
@春日的交响诗 1. 是的,只有trust的端口才能正常收发DHCP报文。
2. 不是必须的,如果没有手动绑定,会根据DHCP Snooping Biding Database的内容进行动态绑定。
"IP Source Guard开启的前提也是首先需要先开启DHCP Snooping"不敢苟同。
IP Source Guard是一种基于DHCP Snooping Binding Database和手工配置的IP Source Bindings来过滤非路由的Layer2的interfaces的一种security feature。
@007 那如果不开启DHCP Snooping,哪来的DHCP Snooping Binding Database呢??
你说的这些,我们不太懂,你这可能是高端技术,但是还要支持的!
看不懂。。只能支持了
看读懂啊啊
对思科不是很了解,我去维基一下
@行畔博客 好学的银啊
hard hard study。。day day up
老实说有点看的晕
额,思科的dhcp snooping 还真不会配,记得神码的很简单来着。
么看懂什么
写的不错了,期待更多的佳作哈
@曲轴 谢谢支持哈哈。