目录
DHCP Snooping
与DHCP Snooping联动技术
IP源防攻击技术(IPSG)
动态ARP检测技术(DAI)
配置DHCP Snooping
DHCP Snooping
DHCP Snooping时DHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击
通过配置信任端口和非信任端口来实现安全防护
信任接口
正常接收DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文
设备只会将DHCP客户端的DHCP请求报文通过信任接口发送给合法的DHCP服务器。
非信任接口
在接收到DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文后,丢弃该报文
DHCP Snooping绑定表
设备根据收到的DHCP ACK报文,建立DHCP Snooping绑定表
此表包含客户端的IP地址、客户端的MAC地址、客户端的Vlan、客户端所在接口等信息
DHCP Snooping绑定表可以根据DHCP租期自行老化,也可以根据DHCP Release报文删除对应表项
注意事项
在DHCP中继使能DHCP Snooping场景下,DHCP Relay设备不需要设置信任端口
因为DHCP Relay设备是以单播的形式向DHCP服务器请求IP地址的,所以Relay设备收到的ACK报文都是合法的
与DHCP Snooping联动技术
IP源防攻击技术(IPSG)
IPSG是一种基于二层接口的源IP地址过滤技术,通过绑定表能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机来获取响应的权限
实现方式(IPSG一般应用于于用户直连的接入设备上)
1、配置静态绑定表,手动配置IP地址、MAC地址、Vlan等信息绑定
2、通过DHCP Snooping生成的动态绑定表来防止IP源攻击
IPSG工作原理(信任端口为dhcp snooping配置的信任端口)
IPSG会检查报文的源IP地址、源MAC地址、Vlan、接口是否和绑定表一致(收到的报文是否进行IPSG检查主要有以下三种情况)
接口使能IPSG,并且为非信任接口,则从此接口收到的报文进行IPSG检查
接口未使能IPSG,并且为非信任接口,则从接口收到的报文不进行IPSG检查
接口未信任接口,无论是否使能IPSG,都不进行IPSG检查
注意事项
IPSG只检查主机发送的IP报文,对于arp、pppoe等非ip报文不进行检查
配置静态IPSG功能(可以不配置dhcp snooping,不配置信任接口)
user-bind static 【ip-address】 【mac-address】 【vlan】 配置静态绑定表
ip source check user-bind enable 开启IPSG检查
此时没有dhcp snooping生成的动态绑定表,因此通过静态绑定表来进行ipsg检查
配置动态IPSG功能(利用绑定表防御源IP欺骗攻击,需要配置信任接口)
先配置DHCP Snooping,然后再配置IPSG
ip source check user-bind enable 开启IPSG检查
ip source check user-bind check-item ip-address mac-address 配置IPSG只检查报文的IP地址和MAC地址
动态ARP检测技术(DAI)
DAI通过绑定表来防止arp欺骗,主要用于防御中间人攻击的场景,避免设备上合法用户的arp表项被攻击者发送的伪造arp报文错误更新
绑定表类型(一般在主机侧开启DAI)
1、配置静态绑定表,手动配置IP地址、MAC地址、Vlan等信息绑定(一般对于静态配置IP地址的用户单独配置静态绑定表,作为动态绑定表的补充)
2、通过DHCP Snooping生成的动态绑定表来防止arp攻击
DAI工作原理
如果设备为非信任接口,才进行DAI检查
设备收到arp报文时,将arp报文对应的源IP地址、源MAC地址、接口、Vlan等信息和绑定表的信息进行对比(如果信息匹配,则允许arp报文通过;如果信息不匹配,则丢弃该arp报文)
配置动态ARP检测技术(必须配置dhcp snooping)
配置DHCP Snooping
user-bind static 【ip-address】 【mac-address】 【vlan】 配置静态绑定表
接口下:arp anti-attack check user-bind enable 使能DAI
注意事项
DAI只可以适用于dhcp snooping场景
DAI的配置静态绑定表是作为动态绑定表的补充,配置静态绑定表也必须开启dhcp snooping
IPSG配置静态绑定表时可以不用配置dhcp snooping
配置DHCP Snooping
正常配置DHCP服务器1,通过全局地址池的方式分配地址
PC1属于Vlan1(即LSW1上不需要做Vlan相关配置)
必选配置
开启DHCP(开启DHCP后才可以配置DHCP Snooping)
dhcp enable
开启IPv4的DHCP Snooping
dhcp snooping enable ipv4
接口开启DHCP Snooping并配置信任端口
interface Ethernet0/0/1 与服务器相连端口
dhcp snooping enable 开启DHCP Snooping
dhcp snooping trusted 配置端口为信任端口
interface Ethernet0/0/2 与客户端相连端口
dhcp snooping enable
可选配置
配置当用户下线后删除本地绑定表
dhcp snooping user-offline remove mac-address
配置ARP与DHCP Snooping联动
arp dhcp-snooping-detect enable
在Vlan1内配置DHCP Request检查(防止攻击者仿冒用户的DHCP Request报文)
dhcp snooping check dhcp-request enable vlan 1
查看DHCP Snooping绑定表文章来源:https://www.toymoban.com/news/detail-508519.html
文章来源地址https://www.toymoban.com/news/detail-508519.html
到了这里,关于IP安全讲解(DHCP Snooping、IPSG、DAI)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
