亚洲欧美精品沙发,日韩在线精品视频,亚洲Av每日更新在线观看,亚洲国产另类一区在线5

<pre id="hdphd"></pre>

  • <div id="hdphd"><small id="hdphd"></small></div>
      學習啦>學習電腦>電腦入門>

      開啟Cisco交換機DHCP Snooping功能教程

      時間: 志藝942 分享

        你還在為不知道開啟Cisco交換機DHCP Snooping功能教程而煩惱么?接下來是小編為大家收集的開啟Cisco交換機DHCP Snooping功能教程教程,希望能幫到大家。

        開啟Cisco交換機DHCP Snooping功能教程

        一、IP地址盜用

        IP地址的盜用方法多種多樣,其常用方法主要有以下幾種:

        1、靜態(tài)修改IP地址

        對于任何一個TCP/IP實現(xiàn)來說,IP地址都是其用戶配置的必選項。如果用戶在配置TCP/IP或修改TCP/IP配置時,使用的不是授 權(quán)分配的IP地址,就形成了IP地址盜用。由于IP地址是一個邏輯地址,因此無法限制用戶對于其主機IP地址的靜態(tài)修改。

        2、成對修改IP-MAC地址

        對于靜態(tài)修改IP地址的問題,現(xiàn)在很多單位都采用IP與MAC綁定技術(shù)加以解決。針對綁定技術(shù),IP盜用技術(shù)又有了新的發(fā)展,即成對修改 IP-MAC地址?,F(xiàn)在的一些兼容網(wǎng)卡,其MAC地址可以使用網(wǎng)卡配置程序進行修改。如果將一臺計算機的 IP地址和MAC地址都改為另外一臺合法主機的IP地址和MAC地址,其同樣可以接入網(wǎng)絡(luò)。

        另外,對于那些MAC地址不能直接修改的網(wǎng)卡來說,用戶還可以采用軟件的辦法來修改MAC地址,即通過修改底層網(wǎng)絡(luò)軟件達到欺騙上層網(wǎng)絡(luò)軟件的目的。

        3、動態(tài)修改IP地址

        某些攻擊程序在網(wǎng)絡(luò)上收發(fā)數(shù)據(jù)包,可以繞過上層網(wǎng)絡(luò)軟件,動態(tài)修改自己的 IP地址(或IP-MAC地址對),以達到IP欺騙。

        二、IP Source Guard技術(shù)介紹

        IP源防護(IP Source Guard,簡稱IPSG)是一種基于IP/MAC的端口流量過濾技術(shù),它可以防止局域網(wǎng)內(nèi)的IP地址欺騙攻擊。IPSG能夠確保第2層網(wǎng)絡(luò)中終端設(shè)備的IP地址不會被劫持,而且還能確保非授權(quán)設(shè)備不能通過自己指定IP地址的方式來訪問網(wǎng)絡(luò)或攻擊網(wǎng)絡(luò)導致網(wǎng)絡(luò)崩潰及癱瘓。

        交換機內(nèi)部有一個IP源綁定表(IP Source Binding Table)作為每個端口接受到的數(shù)據(jù)包的檢測標準,只有在兩種情況下,交換機會轉(zhuǎn)發(fā)數(shù)據(jù):

        所接收到的IP包滿足IP源綁定表中Port/IP/MAC的對應(yīng)關(guān)系

        所接收到的是DHCP數(shù)據(jù)包

        其余數(shù)據(jù)包將被交換機做丟棄處理。

        IP源綁定表可以由用戶在交換機上靜態(tài)添加,或者由交換機從DHCP監(jiān)聽綁定表(DHCP Snooping Binding Table)自動學習獲得。 靜態(tài)配置是一種簡單而固定的方式,但靈活性很差,因此Cisco建議用戶最好結(jié)合DHCP Snooping技術(shù)使用IP Source Guard,由DHCP監(jiān)聽綁定表生成IP源綁定表。

        以DHCP Snooping技術(shù)為前提講一下IP Source Guard技術(shù)的原理。 在這種環(huán)境下,連接在交換機上的所有PC都配置為動態(tài)獲取IP地址,PC作為DHCP客戶端通過廣播發(fā)送DHCP請求,DHCP服務(wù)器將含有IP地址信息的DHCP回復通過單播的方式發(fā)送給DHCP客戶端,交換機從DHCP報文中提取關(guān)鍵信息(包括IP地址,MAC地址,vlan號,端口號,租期等),并把這些信息保存到 DHCP 監(jiān)聽綁定表中。(以上這個過程是由DHCP Snooping完成的)

        接下來的由IP Source Guard完成。交換機根據(jù)DHCP監(jiān)聽綁定表的內(nèi)容自動生成IP源綁定表,然后IOS根據(jù)IP源綁定表里面的內(nèi)容自動在接口加載基于端口的VLAN ACL(PVACL),由該ACL(可以稱之為源IP地址過濾器)來過濾所有IP流量??蛻舳税l(fā)送的IP數(shù)據(jù)包中,只有其源IP地址滿足源IP綁定表才會被發(fā)送,對于具有源IP綁定表之外的其他源IP地址的流量,都將被過濾。

        PC沒有發(fā)送DHCP請求時,其連接的交換機端口默認拒絕除了DHCP請求之外的所有數(shù)據(jù)包,因此PC使用靜態(tài)IP是無法連接網(wǎng)絡(luò)的(除非已經(jīng)存在綁定好的源IP綁定條目,如靜態(tài)源IP綁定條目或者是之前已經(jīng)生成的動態(tài)IP綁定條目還沒過期,而且PC還必須插在正確的端口并設(shè)置正確的靜態(tài)IP地址)。

        IP源防護只支持第2層端口,其中包括接入(access)端口和干道(trunk)接口。IP源防護的信任端口/非信任端口也就是DHCP監(jiān)聽的信任端口/非信任端口。對于非信任端口存在以下兩種級別的IP流量安全過濾:

        源IP地址過濾:根據(jù)源IP地址對IP流量進行過濾,只有當源IP地址與IP源綁定條目匹配,IP流量才允許通過。當端口創(chuàng)建、 修改、 刪除新的IP源綁定條目的時候,IP源地址過濾器將發(fā)生變化。為了能夠反映IP源綁定的變更,端口PACL將被重新修改并重新應(yīng)用到端口上。 默認情況下,如果端口在沒有存在IP源綁定條目的情況下啟用了IP源防護功能,默認的PACL將拒絕端口的所有流量(實際上是除 DHCP報文以外的所有IP流量)。

        源IP和源MAC地址過濾:根據(jù)源IP地址和源MAC地址對IP流量進行過濾,只有當源IP地址和源MAC地址都與IP源綁定條目匹配,IP流量才允許通過。當以IP和MAC地址作為過濾的時候,為了確保DHCP協(xié)議能夠正常的工作,還必須啟用DHCP監(jiān)聽選項82。 對于沒有選項82的數(shù)據(jù),交換機不能確定用于轉(zhuǎn)發(fā)DHCP服務(wù)器響應(yīng)的客戶端主機端口。相反地,DHCP服務(wù)器響應(yīng)將被丟棄,客戶機也不能獲得IP地址。

        注:交換機使用端口安全(Port Security)來過濾源MAC地址。

        當交換機只使用“IP源地址過濾”時,IP源防護功能與端口安全功能是相互獨立的關(guān)系。 端口安全是否開啟對于IP源防護功能來說不是必須的。 如果同時開啟,則兩者也只是一種寬松的合作關(guān)系,IP源防護防止IP地址欺騙,端口安全防止MAC地址欺騙。而當交換機使用“源IP和源MAC地址過濾”時,IP源防護功能與端口安全功能是就變成了一種“集成”關(guān)系,更確切的說是端口安全功能被集成到 IP源防護功能里,作為IP源防護的一個必須的組成部分。

        在這種模式下,端口安全的違規(guī)處理(violation)功能將被關(guān)閉。對于非法的二層報文,都將只是被簡單的丟棄,而不會再執(zhí)行端口安全的違規(guī)處理了。IP源防護功能不能防止客戶端PC的ARP攻擊。ARP攻擊問題必須由DAI功能來解決。如果要支持IP源防護功能,必須是35系列及以上的交換機。2960目前不支持該功能。三、IP Source Guard的配置(IPSG配置前必須先配置ip dhcp snooping)


      看了“開啟Cisco交換機DHCP Snooping功能教程”還想看:

      1.如何開啟Cisco交換機DHCP Snooping的功能

      2.CISCO交換機配置操作學習教程

      3.cisco交換機qos配置實例教程

      4.思科模擬器交換機怎么使用

      5.cisco交換機配置實例教程

      開啟Cisco交換機DHCP Snooping功能教程

      你還在為不知道開啟Cisco交換機DHCP Snooping功能教程而煩惱么?接下來是小編為大家收集的開啟Cisco交換機DHCP Snooping功能教程教程,希望能幫到大家。 開啟Cisco交換機DHCP Snooping功能教程 一、IP地址盜用 IP地址的盜用方法多種多樣
      推薦度:
      點擊下載文檔文檔為doc格式

      精選文章

      • 分布式攻擊的防范系統(tǒng)漏洞的措施
        分布式攻擊的防范系統(tǒng)漏洞的措施

        拒絕服務(wù)攻擊是一種遍布全球的系統(tǒng)漏洞,黑客們正醉心于對它的研究,而無數(shù)的網(wǎng)絡(luò)用戶將成為這種攻擊的受害者。Tribe Flood Network, tfn2k, smurf, targa還有許

      • 路由器與交換機組網(wǎng)圖解
        路由器與交換機組網(wǎng)圖解

        說到交換機和路由器有的則根本搞不清楚它們各自到底有什么用,而有的則是弄不清它們之間的到底有什么區(qū)別,特別是在各媒體大肆宣揚三層交換機的路

      • 保證交換機路由器安全的方法
        保證交換機路由器安全的方法

        傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)側(cè)重于系統(tǒng)入侵檢測,反病毒軟件或防火墻。內(nèi)部安全如何?在網(wǎng)絡(luò)安全構(gòu)造中,交換機和路由器是非常重要的,在七層網(wǎng)絡(luò)中每一層都

      • 提高企業(yè)交換機安全級別的方法
        提高企業(yè)交換機安全級別的方法

        如在11.2以前版本的交換機軟件中,會默認實現(xiàn)多個TCP或者UDP服務(wù)器。這么設(shè)計主要是為了方便管理以及跟現(xiàn)有的環(huán)境進行集成。但是需要注意的是,在實際

      2786544