cisco思科是全球領先的大品牌,相信很多人也不陌生�,那么你知道cisco dai防arp攻擊的方法嗎?下面是學習啦小編整理的一些關于cisco dai防arp攻擊的相關資料,供你參考�����。
cisco dai防arp攻擊的方法:
配置局域網的安全特性�,防止地址亂配���,ARP攻擊等弊病!
1、啟用DHCP SNOOPING
全局命令:
ip dhcp snooping vlan 10,20,30
no ip dhcp snooping information option
ip dhcp snooping database flash:dhcpsnooping.text //將snooping表保存到單獨文檔中�����,防止掉電后消失�。
ip dhcp snooping
接口命令:
ip dhcp snooping trust //將連接DHCP服務器的端口設置為Trust,其余unTrust(默認)
2�����、啟用DAI�����,防止ARP欺騙和中間人攻擊!通過手工配置或者DHCP監聽snooping�����,交換機將能夠確定正確的端口�。如果ARP應答和snooping不匹配��,那么它將被丟棄���,并且記錄違規行為。違規端口將進入err-disabled狀態����,攻擊者也就不能繼續對網絡進行進一步的破壞了!
全局命令
ip arp inspection vlan 30
接口命令(交換機之間鏈路配置DAI信任端口,用戶端口則在默認的非信任端口):
ip arp inspection trust
ip arp inspection limit rate 100
3���、啟用IPSG
前提是啟用IP DHCP SNOOPING���,能夠獲得有效的源端口信息�����。IPSG是一種類似于uRPF(單播反向路徑檢測)的二層接口特性���,uRPF可以檢測第三層或路由接口。
接口命令:
switchport mode acc
switchport port-security
ip verify source vlan dhcp-snooping port-security
4��、關于幾個靜態IP的解決辦法
可通過ip dhcp snooping binding 1.1.1 vlan 1 1.1.1.1 interface gi0/8
通過arp access-list添加靜態主機:
arp access-list static-arp
permit ip host 192.168.1.1 mac host 0000.0000.0003
ip arp inspection filter static-arp vlan 30
DHCP 中綁定固定IP:
ip dhcp pool test
host 192.168.1.18 255.255.255.0 (分給用戶的IP)
client-identifier 0101.0bf5.395e.55(用戶端mac)
client-name test
開展及總結:
思科交換機在全局配置模式下開啟IP DHCP SNOOPING后��,所有端口默認處于DHCP SNOOPING UNTRUSTED模式下���,但DHCP SNOOPING INFORMATION OPTION功能默認是開啟的,此時DHCP報文在到達一個SNOOPING UNTRUSTED端口時將被丟棄�。因此,必須在4506配置IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED命令(默認關閉)�����,以允許4506從DHCP SNOOPING UNTRUSTED端口接收帶有OPTION 82的DHCP REQUEST報文�����。建議在交換機上關閉DHCP INFORMATION OPTION,即全局配置模式下NO IP DHCP SNOOPING INFORMATION OPTION�����。
7�����、對于允許手工配置IP地址等參數的客戶端���,可以手工添加綁定條目到DHCP SNOOPING BINDING數據庫中���。ip dhcp snooping binding 00d0.2bd0.d80a vlan 100 222.25.77.100 interface gig1/1 expiry 600表示手工添加一條MAC地址為00d0.2bd0.d80a,IP地址為222.25.77.100����,接入端口為GIG1/1,租期時間為600秒的綁定條目�。
8、IPSG即IP SOURCE GUARD是在DHCP SNOOPING功能的基礎上����,形成IP SOURCE BINDING表���,只作用在二層端口上。啟用IPSG的端口�����,會檢查接收到所有IP包�,只轉發與此綁定表的條目相符合的IP包。默認IPSG只以源IP地址為條件過濾IP包�����,如果加上以源MAC地址為條件過濾的話�,必須開啟DHCP SNOOPING INFORMAITON OPTION 82功能。
9���、DAI即DYNAMIC ARP INSPECTION也是以DHCP SNOOPING BINDING DATABASE為基礎的���,也區分為信任和非信任端口�����,DAI只檢測非信任端口的ARP包,可以截取�、記錄和丟棄與SNOOPING BINDING中IP地址到MAC地址映射關系條目不符的ARP包。如果不使用DHCP SNOOPING����,則需要手工配置ARP ACL。
看過文章“cisco dai防arp攻擊”的人還看了:
1.cisco思科路由器設置
2.思科路由器怎么進入 思科路由器怎么設置
3.思科路由器控制端口連接圖解
4.思科路由器基本配置教程
5.如何進入cisco路由器
6.cisco怎么進端口
7.cisco如何看未接來電
8.cisco常用命令
9.詳解思科route print
10.思科路由器恢復出廠配置的方法有哪些
(責任編輯:VEVB)
