思科Cisoc DHCP Snooping
思科Cisoc DHCP Snooping
DHCP Snooping简介
定义
DHCP Snooping是DHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址。
目的
目前DHCP协议(RFC2131)在应用的过程中遇到很多安全方面的问题,网络中存在一些针对DHCP的攻击,如DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。
为了保证网络通信业务的安全性,可引入DHCP Snooping技术,在DHCP Client和DHCP Server之间配置,在交换机上配置,以抵御网络中针对DHCP的各种攻击。
受益
设备具有防御网络上DHCP攻击的能力,增强了设备的可靠性,保障通信网络的正常运行。
为用户提供更安全的网络环境,更稳定的网络服务。
DHCP Snooping应用场景
防止DHCP Server仿冒者攻击导致用户获取到错误的IP地址和网络参数
防止非DHCP用户攻击导致合法用户无法正常使用网络
防止DHCP报文泛洪攻击导致设备无法正常工作
防止仿冒DHCP报文攻击导致合法用户无法获得IP地址或异常下线
防止DHCP Server服务拒绝攻击导致部分用户无法上线
Option82的典型应用
通过LDRA功能感知用户位置信息
实验:
dhcp server:DHCP服务器
SW1: 交换机
pc1、pc2: 电脑
简述:交换机的fa0/1接口连接到DHCP服务器,如果电脑到DHCP服务器间跨着多台交换机,则可以在每台交换机上都配置snooping功能。
拓扑图:
dhcp server---------fa0/1-SW1-fa0/2-----------pc1
fa0/3-----------pc2
第一步:启用dhcp服务器与snooping服务
SW1>enable
SW1#configure terminal
SW1(config)#
#全局命令,打开DHCP server 与 DHCP Snooping功能,
SW1(config)#service dhcp
SW1(config)#ip dhcp snooping
备注:
DHCP服务默认如果是开启的,service dhcp不会在running-config中显示。
#可以选择在哪些VLAN上启用snooping功能
SW1(config)#ip dhcp snooping vlan 1,2,10
#在vlan1,2,10上启用dhcp snooping功能
#全局命令;设置DHCP Snooping功能将作用于哪些VLAN,交换的默认vlan为1,即交换机接口的默认vlan是1。
第二步:把交换机连接DHCP服务器方向的接口配置为信任接口Trust
SW1>enable
SW1#configure terminal
SW1(config)#
SW1(config)#interface fa0/1
SW1(config-if)#ip dhcp snooping trust
#连接服务器方向的接口配置成信任接口,即允许dhcp报文通过。
SW1(config-if)#
备注:
思科交换机所有接口默认为非信任接口
第三步:测试,电脑接到交换机上获取ip地址,是否达到要求。
第四步:保存配置
SW1#write
#保存配置
DHCP服务器与MAC地址绑定、snooping(列表、list、全)maclist、dhcplist、dhcpsnoopinglist
http://www.zh-cjh.com/wenzhangguilei/1005.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 思科Cisoc DHCP Snooping
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm