考试网 >> IT认证 >> 思科 >> Cisco指导 >> 思科交换机如何防范典型欺骗和攻击

发布时间：2006-06-28 06:12     点击：

• 配置 IP Source Guard的接口初始阻塞所有非DHCP流量。

• 不能防止“中间人攻击”。

对于 IP欺骗在路由器上也可以使用urpf技术。

4.4配置示例：

　　检测接口上的 IP+MAC

IOS 全局配置命令：

ip dhcp snooping vlan 12,200

ip dhcp snooping information option

ip dhcp snooping

接口配置命令：

ip verify source vlan dhcp-snooping port-security

switchport mode access

switchport port-security

switchport port-security limit rate invalid-source-mac N

/* 控制端口上所能学习源 MAC 的速率，仅当 IP+MAC 同时检测时有意义。

　　检测接口上的 IP

IOS 全局配置命令

ip dhcp snooping vlan 12,200

no ip dhcp snooping information option

ip dhcp snooping

接口配置命令：

ip verify source vlan dhcp-snooping

　　不使用 DHCP 的静态配置

IOS 全局配置命令：

ip dhcp snooping vlan 12,200

ip dhcp snooping information option

ip dhcp snooping

ip source binding 0009.6b88.d387 vlan 212 10.66.227.5 interface Gi4/5

　　5 IP地址管理和病毒防范的新思路

　　5.1IP地址管理

　　综上所述通过配置思科交换机的上述特征，不仅解决了一些典型攻击和病毒的防范问题，也为传统 IP地址管理提供了新的思路。

通过上面的几项技术解决了传统的利用DHCP服务器管理客户端IP地址的问题：

• 故意不使用手工指定静态 IP地址和DHCP分配地址冲突

• 配置 DHCP server

• 使用静态指定 IP遇到的问题

• 不使用分配的 IP地址和服务器或其他地址冲突

• 不容易定位 IP地址和具体交换机端口对应表

使用静态地址的重要服务器和计算机，可以进行静态绑定 IP+MAC、IP+MAC+PORT，手工配置DAI和 IP Source Guard绑定表项， 来保护这些设备，同时也防止来自这些设备的攻击。

发表评论： 匿名发表 用户名: 查看评论

您将承担一切因您的行为、言论而直接或间接导致的民事或刑事法律责任 留言板管理人员有权保留或删除其管辖留言中的任意内容 本站提醒：不要进行人身攻击。谢谢配合。