欢迎来到天天文库
浏览记录
ID:51770820
大小:38.15 KB
页数:5页
时间:2020-03-15
《动态ARP检测原理及应用.docx》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、动态ARP检测原理及应用在一个局域网中,网络安全可以通过多种方式来实现,而采取DHCPsnooping(DHCP防护)及DAI检测(ARP防护)这种技术,保护接入交换机的每个端口,可以让网络更加安全,更加稳定,尽可能的减小中毒范围,不因病毒或木马导致全网的瘫痪。下面将详细的对这种技术的原理和应用做出解释。一、相关原理及作用1、DHCPsnooping原理DHCPSnooping技术是DHCP安全特性,通过建立和维护DHCPSnooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCPSnooping绑定表包含不信任区域的用户M
2、AC地址、IP地址、租用期、VLAN-ID接口等信息。 当交换机开启了DHCP-Snooping后,会对DHCP报文进行“侦听”,并可以从接收到的DHCPRequest或DHCPAck报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCPOffer报文,而不信任端口会将接收到的DHCPOffer报文丢弃。这样,可以完成交换机对假冒DHCPServer的屏蔽作用,确保客户端从合法的DHCPServer获取IP地址。2、DHCPsnooping作用DHCPsnoopi
3、ng的主要作用就是隔绝私接的DHCPserver,防止网络因多个DHCPserver而产生震荡。DHCPsnooping与交换机DAI技术的配合,防止ARP病毒的传播。建立并维护一张DHCPsnooping的“绑定表”,这张表可以通过dhcpack包中的ip和mac地址生成的,也可以通过手工指定。它是后续DAI(DynamicARPInspection)和IPSourceGuard基础。这两种类似的技术,是通过这张表来判定ip或者mac地址是否合法,来限制用户连接到网络的。3、DAI的原理及作用DAI全称为DynamicARPInspection,译为动态ARP检
4、测。思科DynamicARPInspection(DAI)在交换机上提供IP地址和MAC地址的绑定,并动态建立绑定关系。DAI以DHCPSnooping绑定表为基础,对于没有使用DHCP的服务器个别机器可以采用静态添加ARPaccess-list实现。DAI配置可以针对VLAN,对于同一VLAN内的接口即可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量,来达到防范DoS攻击的目的。一、DHCPsnooping及DAI的应用1、DHCPsnooping的应用Switch(config)#ipdhcpsnooping Switch(confi
5、g)#ipdhcpsnoopingvlanid /*vlanid为vlan号。Switch(config-if)#ipdhcpsnoopinglimitratenumber/*dhcp包的转发速率,超过就接口就err-disable,默认不限制; Switch(config-if)#ipdhcpsnoopingtrust /*这样这个端口就变成了信任端口,信任端口可以正常接收并转发DHCPOffer报文,不记录ip和mac地址的绑定,默认是非信任端口。交换机上联端口必须为trust端口 Switch#ipdhcpsnoopingbindingmac-addre
6、ssvlanidip-addressinterfaceinterface/*这样可以静态ip和mac一个绑定。mac-address为设备物理地址,ip-address为设备IP地址,interface为设备所接交换机端口号。Switch(config)#ipdhcpsnoopingdatabasetftp://10.1.1.1/dhcp_table /*因为掉电后,这张绑定表就消失了,所以要选择一个保存的地方,ftp、tftp、flash皆可。Dhcp_table为文件名,并且在服务器端也要建立一个相同文件名文件。 1、DAI的应用Switch(config)
7、#ipdhcpsnoopingvlanid/*vlanid为vlan号。Switch(config)#ipdhcpsnoopingSwitch(config)#iparpinspectionvlanid/*定义对哪些VLAN进行ARP报文检测。Switch(config)#iparpinspectionvalidatesrc-macdst-macip-address /*对src-mac(源mac地址),dst-mac(目标mac地址)和ip-address(ip地址)进行检查 Switch(config-if)#iparpinspectionlimitrat
8、enumb
此文档下载收益归作者所有