交換機接入安全
責編:admin |2015-02-09 17:52:39DHCP探測
偽造一個DHCP服務器進行DHCP應答
指定DHCP服務器連接的端口為可信的
R1(config)#interface typemod/num
R1(config-if)#ip dhcp snooping trust
設定不可信端口限制DHCP請求速率
R1(config)#interface typemod/num
R1(config-if)#ip dhcp snooping limit rate rate
源IP地址防護
偽造一個IP源地址進行DDOS之類的攻擊
不使用dhcp的主機,配置靜態源ip地址綁定
R1(config)#ip source bingding mac-addressvlan vlan-idip-address interface typemod/num
在一個或多個交換機端口啟用源IP地址防護
R1(config)#interface typemod/num
R1(config-if)#ip vertify source port-sercurity
動態ARP檢查
偵聽到ARP請求后發送ARP應答,應答中包括攻擊者的MAC地址
在一個或多個客戶vlan上啟用DAI
R1(config)#ip arp inspection vlan vlan-range
指定與其他交換機相連的端口指定為可信任的
R1(config)#interface typemod/num
R1(config-if)#ip arp inspection trust
靜態的配置了IP地址的話
R1(config)#arp access-list acl-name
R1(config-acl)#permit ip host sender-ip machost sender-mac[log]
R1(config-acl)#exit
將ARP訪問列表應用于DAI
R1(config)#ip arp inspection filter arp-acl-namevlan vlan-range[static]
啟用DAI驗證
R1(config)#ip arp inspection validate {[src-mac] [dst-mac] [ip]}
全局啟用dhcp探測
R1(config)#ip dhcp snooping
指定要實現探測的vlan
R1(config)#ip dhcp snooping vlan id