IP安全讲解(DHCP Snooping、IPSG、DAI)

这篇具有很好参考价值的文章主要介绍了IP安全讲解(DHCP Snooping、IPSG、DAI)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

DHCP Snooping 

与DHCP Snooping联动技术

IP源防攻击技术(IPSG)

动态ARP检测技术(DAI)

配置DHCP Snooping


DHCP Snooping 

DHCP Snooping时DHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击

通过配置信任端口和非信任端口来实现安全防护

信任接口

正常接收DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文

设备只会将DHCP客户端的DHCP请求报文通过信任接口发送给合法的DHCP服务器。

非信任接口

在接收到DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文后,丢弃该报文

DHCP Snooping绑定表

设备根据收到的DHCP ACK报文,建立DHCP Snooping绑定表

此表包含客户端的IP地址、客户端的MAC地址、客户端的Vlan、客户端所在接口等信息

DHCP Snooping绑定表可以根据DHCP租期自行老化,也可以根据DHCP Release报文删除对应表项

注意事项

在DHCP中继使能DHCP Snooping场景下,DHCP Relay设备不需要设置信任端口

因为DHCP Relay设备是以单播的形式向DHCP服务器请求IP地址的,所以Relay设备收到的ACK报文都是合法的

与DHCP Snooping联动技术

IP源防攻击技术(IPSG)

IPSG是一种基于二层接口的源IP地址过滤技术,通过绑定表能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机来获取响应的权限

实现方式(IPSG一般应用于于用户直连的接入设备上)

1、配置静态绑定表,手动配置IP地址、MAC地址、Vlan等信息绑定

2、通过DHCP Snooping生成的动态绑定表来防止IP源攻击

IPSG工作原理(信任端口为dhcp snooping配置的信任端口)

IPSG会检查报文的源IP地址、源MAC地址、Vlan、接口是否和绑定表一致(收到的报文是否进行IPSG检查主要有以下三种情况)

  接口使能IPSG,并且为非信任接口,则从此接口收到的报文进行IPSG检查

  接口未使能IPSG,并且为非信任接口,则从接口收到的报文不进行IPSG检查

  接口未信任接口,无论是否使能IPSG,都不进行IPSG检查

注意事项

IPSG只检查主机发送的IP报文,对于arp、pppoe等非ip报文不进行检查

配置静态IPSG功能(可以不配置dhcp snooping,不配置信任接口)

user-bind static 【ip-address】 【mac-address】 【vlan】   配置静态绑定表

ip source check user-bind enable                                           开启IPSG检查

此时没有dhcp snooping生成的动态绑定表,因此通过静态绑定表来进行ipsg检查

配置动态IPSG功能(利用绑定表防御源IP欺骗攻击,需要配置信任接口)

先配置DHCP Snooping,然后再配置IPSG

ip source check user-bind enable        开启IPSG检查

ip source check user-bind check-item ip-address mac-address        配置IPSG只检查报文的IP地址和MAC地址

动态ARP检测技术(DAI)

DAI通过绑定表来防止arp欺骗,主要用于防御中间人攻击的场景,避免设备上合法用户的arp表项被攻击者发送的伪造arp报文错误更新

绑定表类型(一般在主机侧开启DAI)

1、配置静态绑定表,手动配置IP地址、MAC地址、Vlan等信息绑定(一般对于静态配置IP地址的用户单独配置静态绑定表,作为动态绑定表的补充)

2、通过DHCP Snooping生成的动态绑定表来防止arp攻击

DAI工作原理

如果设备为非信任接口,才进行DAI检查

设备收到arp报文时,将arp报文对应的源IP地址、源MAC地址、接口、Vlan等信息和绑定表的信息进行对比(如果信息匹配,则允许arp报文通过;如果信息不匹配,则丢弃该arp报文)

配置动态ARP检测技术(必须配置dhcp snooping)

配置DHCP Snooping

user-bind static 【ip-address】 【mac-address】 【vlan】  配置静态绑定表

接口下:arp anti-attack check user-bind enable        使能DAI

注意事项

DAI只可以适用于dhcp snooping场景

DAI的配置静态绑定表是作为动态绑定表的补充,配置静态绑定表也必须开启dhcp snooping

IPSG配置静态绑定表时可以不用配置dhcp snooping


配置DHCP Snooping

IP安全讲解(DHCP Snooping、IPSG、DAI)

正常配置DHCP服务器1,通过全局地址池的方式分配地址

PC1属于Vlan1(即LSW1上不需要做Vlan相关配置)

必选配置

开启DHCP(开启DHCP后才可以配置DHCP Snooping)

dhcp enable

开启IPv4的DHCP Snooping

dhcp snooping enable ipv4  

接口开启DHCP Snooping并配置信任端口

interface Ethernet0/0/1   与服务器相连端口

 dhcp snooping enable   开启DHCP Snooping

 dhcp snooping trusted   配置端口为信任端口

interface Ethernet0/0/2    与客户端相连端口

 dhcp snooping enable

可选配置

配置当用户下线后删除本地绑定表

dhcp snooping user-offline remove mac-address 

配置ARP与DHCP Snooping联动

arp dhcp-snooping-detect enable 

在Vlan1内配置DHCP Request检查(防止攻击者仿冒用户的DHCP Request报文)

dhcp snooping check dhcp-request enable vlan 1 

查看DHCP Snooping绑定表

IP安全讲解(DHCP Snooping、IPSG、DAI)文章来源地址https://www.toymoban.com/news/detail-508519.html

到了这里,关于IP安全讲解(DHCP Snooping、IPSG、DAI)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • H3C_DHCP_snooping的配置

    DHCP Snooping是DHCP的一种安全特性,主要应用在交换机上,作用是屏蔽接入网络中的非法的DHCP服务器。即开启DHCP Snooping功能后,网络中的客户端只有从管理员指定的DHCP服务器获取IP地址。 在园区网中,办公网段一般会用核心交换机采取dhcp地址池分配。在某些情况下,内部人员

    2024年02月04日
    浏览(32)
  • 实训二十八:交换机 DHCP Snooping 的配置

    1、 了解 DHCP snooping 原理; 2、 熟练掌握交换机 DHCP snooping 的配置方法; 3、 了解该功能的广泛应用。 1、在 DHCP 的网络环境中,管理员经常碰到的一个问题就是一些用户私自修改使用静态的 ip 地址,而不是使用动态获取 Ip 地址,而使用静态IP 又会导致一些使用动态获取 IP

    2024年02月06日
    浏览(42)
  • DHCP分配IP地址详细流程讲解(附图,建议PC观看)

    目录 一、DHCP分配IP地址流程: ​第一步:DHCP Client请求IP——DHCP Client以广播的方式发出DHCP Discover报文 第二步:server响应——DHCP Server向DHCP Client发送一个DHCP Offer报文 第三步:DHCP Client选择IP——DHCP Client会发出一个广播的DHCP Request报文,在选项字段中会加入选中的DHCP Server的

    2024年02月05日
    浏览(53)
  • IPSG(IP Source Guard):IP源防攻击

    一、IPSG(IP Source Guard):IP源防攻击 1.1 基于二层接口的源地址过滤技术 1.2 防止恶意主机伪造合法主机的IP地址 1.3 确保非授权主机不能通过自己制定IP来访问和攻击网络 二、IPSG工作原理 2.1 利用绑定表去匹配二层接口收到的IP报文,只有匹配绑定表才可以通过,否则丢弃 三、

    2024年02月14日
    浏览(25)
  • Linux【网络基础】数据链路层&IP协议技术补充&DNS&DHCP

    数据链路层的主要功能就是负责相邻设备之间的数据传输 。 在网络层是点对点之间的通信。主要通过IP协议描述起点到终点。而链路层则是对网络层的补充,负责在起点到终点的路径中,每一个相邻节点的数据传输。 网络层主要关心的是从起点到终点 链路层则关心的是其中

    2024年02月14日
    浏览(53)
  • 系统架构设计、Linux、 C++、Java、Python、Andorid、iOS等技术笔记目录分享 - 最全讲解

    架构设计师应具备的专业素质: 掌握业务领域的知识、掌握技术知识、掌握设计技能、掌握编程技能、具备沟通能力、具备决策能力、知道组织策略、应是谈判专家。 →点击 笔者主页,欢迎关注哦(互相学习,共同成长) 笔者看过的书籍,挺不错的,推荐一波,其实也有

    2024年02月11日
    浏览(40)
  • 【网络安全 | 网络协议】结合Wireshark讲解IP协议

    当我们进行数据传输时,操作系统会创建一个 ICMP Echo Request 数据包,并在该数据包中包含要发送的目标 IP 地址。然后操作系统将数据包传递给网络协议栈,该数据包被封装成 IP 数据包。IP 数据包的头部包含源 IP 地址和目标 IP 地址等信息。封装后的 IP 数据包被传递到数据链

    2024年02月03日
    浏览(43)
  • 【新星计划·2023】网络协议———DHCP讲解

    在工作中,利用DHCP可以有效的节约IP地址,既保证了网络通信,又提高IP地址的使用率。 DHCP全称为Dynamic Host Configuration Protocol,是一种 网络管理协议 ,中文含义为“ 动态主机配置协议 ”,通常被应用在 大型的局域网络环境中。 主要作用: 集中管理、分配IP地址 ,使网络环

    2024年02月06日
    浏览(37)
  • IP定位技术助力网络安全保护

    随着网络技术的不断发展,网络安全问题日益凸显,如何有效保护网络安全已成为亟待解决的问题。IP定位技术作为一种前沿的网络安全防护手段,正在逐步成为网络安全保护的重要工具。 首先,我们要明确什么是IP定位技术。IP定位技术是一种基于IP地址的地理位置定位技术

    2024年02月19日
    浏览(34)
  • ISO13849功能安全从入门到精通(2):安全功能的设计和技术实现_iso13849讲解(2)

    先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7 深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前! 因此收集整理了一份《2024年最新网络安全全套学习资料》

    2024年04月26日
    浏览(26)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包