考试网 >> IT认证 >> 思科 >> Cisco指导 >> 思科交换机如何防范典型欺骗和攻击

发布时间：2006-06-28 06:12     点击：

　　2.2DHCP Snooping技术概况

　　DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息，如下表所示：

cat4507#sh ip dhcp snooping binding

MacAddress IpAddress Lease(sec) Type VLAN Interface

------------------ --------------- ---------- ------- ---- --------------------

00:0D:60:2D:45:0D 10.149.3.13 600735 dhcp-snooping 100 GigabitEthernet1/0/7

　　这张表不仅解决了 DHCP用户的IP和端口跟踪定位问题，为用户管理提供方便，而且还供给动态ARP检测DA）和IP Source Guard使用。

　　2.3基本防范

　　首先定义交换机上的信任端口和不信任端口，对于不信任端口的 DHCP 报文进行截获和嗅探， DROP 掉来自这些端口的非正常 DHCP 报文，如下图所示： 

 

　　基本配置示例如下表：

IOS 全局命令：

ip dhcp snooping vlan 100,200 /* 定义哪些 VLAN 启用 DHCP 嗅探

ip dhcp snooping

接口命令

ip dhcp snooping trust

no ip dhcp snooping trust (Default)

ip dhcp snooping limit rate 10 (pps) /* 一定程度上防止 DHCP 拒绝服 /* 务攻击

手工添加 DHCP 绑定表

ip dhcp snooping binding 1.1.1 vlan 1 1.1.1.1 interface gi1/1 expiry 1000

导出 DHCP 绑定表到 TFTP 服务器

ip dhcp snooping database tftp:// 10.1.1 .1/directory/file

发表评论： 匿名发表 用户名: 查看评论

您将承担一切因您的行为、言论而直接或间接导致的民事或刑事法律责任 留言板管理人员有权保留或删除其管辖留言中的任意内容 本站提醒：不要进行人身攻击。谢谢配合。