交换机接入安全

  DHCP探测

  伪造一个DHCP服务器进行DHCP应答

  指定DHCP服务器连接的端口为可信的

  R1(config)#interface typemod/num

  R1(config-if)#ip dhcp snooping trust

  设定不可信端口限制DHCP请求速率

  R1(config)#interface typemod/num

  R1(config-if)#ip dhcp snooping limit rate rate

  源IP地址防护

  伪造一个IP源地址进行DDOS之类的攻击

  不使用dhcp的主机,配置静态源ip地址绑定

  R1(config)#ip source bingding mac-addressvlan vlan-idip-address interface typemod/num

  在一个或多个交换机端口启用源IP地址防护

  R1(config)#interface typemod/num

  R1(config-if)#ip vertify source port-sercurity

  动态ARP检查

  侦听到ARP请求后发送ARP应答,应答中包括攻击者的MAC地址

  在一个或多个客户vlan上启用DAI

  R1(config)#ip arp inspection vlan vlan-range

  指定与其他交换机相连的端口指定为可信任的

  R1(config)#interface typemod/num

  R1(config-if)#ip arp inspection trust

  静态的配置了IP地址的话

  R1(config)#arp access-list acl-name

  R1(config-acl)#permit ip host sender-ip machost sender-mac[log]

  R1(config-acl)#exit

  将ARP访问列表应用于DAI

  R1(config)#ip arp inspection filter arp-acl-namevlan vlan-range[static]

  启用DAI验证

  R1(config)#ip arp inspection validate {[src-mac] [dst-mac] [ip]}

  全局启用dhcp探测

  R1(config)#ip dhcp snooping

  指定要实现探测的vlan

  R1(config)#ip dhcp snooping vlan id

发表评论

邮箱地址不会被公开。 必填项已用*标注