动态arp检测原理及应用

动态arp检测原理及应用

ID:10015803

大小:25.80 KB

页数:5页

时间:2018-05-21

动态arp检测原理及应用_第1页
动态arp检测原理及应用_第2页
动态arp检测原理及应用_第3页
动态arp检测原理及应用_第4页
动态arp检测原理及应用_第5页
资源描述:

《动态arp检测原理及应用》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、动态ARP检测原理及应用在一个局域网中,网络安全可以通过多种方式来实现,而采取DHCPsnooping(DHCP防护)及DAI检测(ARP防护)这种技术,保护接入交换机的每个端口,可以让网络更加安全,更加稳定,尽可能的减小中毒范围,不因病毒或木马导致全网的瘫痪。下面将详细的对这种技术的原理和应用做出解释。一、相关原理及作用1、DHCPsnooping原理DHCPSnooping技术是DHCP安全特性,通过建立和维护DHCPSnooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCPSnooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、V

2、LAN-ID接口等信息。  当交换机开启了DHCP-Snooping后,会对DHCP报文进行“侦听”,并可以从接收到的DHCPRequest或DHCPAck报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCPOffer报文,而不信任端口会将接收到的DHCPOffer报文丢弃。这样,可以完成交换机对假冒DHCPServer的屏蔽作用,确保客户端从合法的DHCPServer获取IP地址。2、DHCPsnooping作用DHCPsnooping的主要作用就是隔绝私接的DHCPserver,防止网络因

3、多个DHCPserver而产生震荡。DHCPsnooping与交换机DAI技术的配合,防止ARP病毒的传播。建立并维护一张DHCPsnooping的“绑定表”,这张表可以通过dhcpack包中的ip和mac地址生成的,也可以通过手工指定。它是后续DAI(DynamicARPInspection)和IPSourceGuard基础。这两种类似的技术,是通过这张表来判定ip或者mac地址是否合法,来限制用户连接到网络的。3、DAI的原理及作用DAI全称为DynamicARPInspection,译为动态ARP检测。思科DynamicARPInspection(DAI)在交换机上提供IP地址和MAC地

4、址的绑定,并动态建立绑定关系。DAI以DHCPSnooping绑定表为基础,对于没有使用DHCP的服务器个别机器可以采用静态添加ARPaccess-list实现。DAI配置可以针对VLAN,对于同一VLAN内的接口即可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量,来达到防范DoS攻击的目的。一、DHCPsnooping及DAI的应用1、DHCPsnooping的应用Switch(config)#ipdhcpsnooping  Switch(config)#ipdhcpsnoopingvlanid /*vlanid为vlan号。Switch(config-if)#ipd

5、hcpsnoopinglimitratenumber/*dhcp包的转发速率,超过就接口就err-disable,默认不限制;  Switch(config-if)#ipdhcpsnoopingtrust /*这样这个端口就变成了信任端口,信任端口可以正常接收并转发DHCPOffer报文,不记录ip和mac地址的绑定,默认是非信任端口。交换机上联端口必须为trust端口  Switch#ipdhcpsnoopingbindingmac-addressvlanidip-addressinterfaceinterface/*这样可以静态ip和mac一个绑定。mac-address为设备物理地址,i

6、p-address为设备IP地址,interface为设备所接交换机端口号。Switch(config)#ipdhcpsnoopingdatabasetftp://10.1.1.1/dhcp_table /*因为掉电后,这张绑定表就消失了,所以要选择一个保存的地方,ftp、tftp、flash皆可。Dhcp_table为文件名,并且在服务器端也要建立一个相同文件名文件。  1、DAI的应用Switch(config)#ipdhcpsnoopingvlanid/*vlanid为vlan号。Switch(config)#ipdhcpsnoopingSwitch(config)#iparpinspe

7、ctionvlanid/*定义对哪些VLAN进行ARP报文检测。Switch(config)#iparpinspectionvalidatesrc-macdst-macip-address  /*对src-mac(源mac地址),dst-mac(目标mac地址)和ip-address(ip地址)进行检查  Switch(config-if)#iparpinspectionlimitratenumb

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。