考试网 >> IT认证 >> 思科 >> Cisco指导 >> 思科交换机如何防范典型欺骗和攻击(图)

发布时间：2006-06-28 06:10     点击：

　　DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息，如下表所示：

　　cat4507#sh ip dhcp snooping binding

　　MacAddress IpAddress Lease(sec) Type VLAN Interface

　　------------------ --------------- ---------- ------- ---- --------------------

　　00:0D:60:2D:45:0D 10.149.3.13 600735 dhcp-snooping 100 GigabitEthernet1/0/7

　　这张表不仅解决了 DHCP用户的IP和端口跟踪定位问题，为用户管理提供方便，而且还供给动态ARP检测DA）和IP Source Guard使用。

　　2.3基本防范

　　首先定义交换机上的信任端口和不信任端口，对于不信任端口的 DHCP 报文进行截获和嗅探， DROP 掉来自这些端口的非正常 DHCP 报文，如下图所示：

　　基本配置示例如下表：

　　IOS 全局命令：

　　ip dhcp snooping vlan 100,200 /* 定义哪些 VLAN 启用 DHCP 嗅探

　　ip dhcp snooping

　　接口命令

　　ip dhcp snooping trust

　　no ip dhcp snooping trust (Default)

　　ip dhcp snooping limit rate 10 (pps) /* 一定程度上防止 DHCP 拒绝服 /* 务攻击

　　手工添加 DHCP 绑定表

　　ip dhcp snooping binding 1.1.1 vlan 1 1.1.1.1 interface gi1/1 expiry 1000

　　导出 DHCP 绑定表到 TFTP 服务器

　　ip dhcp snooping database tftp:// 10.1.1 .1/directory/file

　　需要注意的是 DHCP 绑定表要存在本地存贮器 (Bootfalsh 、 slot0 、 ftp 、 tftp) 或导出到指定 TFTP 服务器上，否则交换机重启后 DHCP 绑定表丢失，对于已经申请到 IP 地址的设备在租用期内，不会再次发起 DHCP 请求，如果此时交换机己经配置了下面所讲到的 DAI 和 IP Source Guard 技术，这些用户将不能访问网络。

发表评论： 匿名发表 用户名: 查看评论

您将承担一切因您的行为、言论而直接或间接导致的民事或刑事法律责任 留言板管理人员有权保留或删除其管辖留言中的任意内容 本站提醒：不要进行人身攻击。谢谢配合。