目錄

DHCP Snooping?

與DHCP Snooping聯(lián)動技術

IP源防攻擊技術（IPSG）

動態(tài)ARP檢測技術（DAI）

配置DHCP Snooping

DHCP Snooping?

DHCP Snooping時DHCP的一種安全特性，用于保證DHCP客戶端從合法的DHCP服務器獲取IP地址，并記錄DHCP客戶端IP地址與MAC地址等參數(shù)的對應關系，防止網(wǎng)絡上針對DHCP攻擊

通過配置信任端口和非信任端口來實現(xiàn)安全防護

信任接口

正常接收DHCP服務器響應的DHCP ACK、DHCP NAK和DHCP Offer報文

設備只會將DHCP客戶端的DHCP請求報文通過信任接口發(fā)送給合法的DHCP服務器。

非信任接口

在接收到DHCP服務器響應的DHCP ACK、DHCP NAK和DHCP Offer報文后，丟棄該報文

DHCP Snooping綁定表

設備根據(jù)收到的DHCP ACK報文，建立DHCP Snooping綁定表

此表包含客戶端的IP地址、客戶端的MAC地址、客戶端的Vlan、客戶端所在接口等信息

DHCP Snooping綁定表可以根據(jù)DHCP租期自行老化，也可以根據(jù)DHCP Release報文刪除對應表項

注意事項

在DHCP中繼使能DHCP Snooping場景下，DHCP Relay設備不需要設置信任端口

因為DHCP Relay設備是以單播的形式向DHCP服務器請求IP地址的，所以Relay設備收到的ACK報文都是合法的

與DHCP Snooping聯(lián)動技術

IP源防攻擊技術（IPSG）

IPSG是一種基于二層接口的源IP地址過濾技術，通過綁定表能夠防止惡意主機偽造合法主機的IP地址來仿冒合法主機來獲取響應的權限

實現(xiàn)方式（IPSG一般應用于于用戶直連的接入設備上）

1、配置靜態(tài)綁定表，手動配置IP地址、MAC地址、Vlan等信息綁定

2、通過DHCP Snooping生成的動態(tài)綁定表來防止IP源攻擊

IPSG工作原理（信任端口為dhcp snooping配置的信任端口）

IPSG會檢查報文的源IP地址、源MAC地址、Vlan、接口是否和綁定表一致（收到的報文是否進行IPSG檢查主要有以下三種情況）

? 接口使能IPSG，并且為非信任接口，則從此接口收到的報文進行IPSG檢查

? 接口未使能IPSG，并且為非信任接口，則從接口收到的報文不進行IPSG檢查

? 接口未信任接口，無論是否使能IPSG，都不進行IPSG檢查

注意事項

IPSG只檢查主機發(fā)送的IP報文，對于arp、pppoe等非ip報文不進行檢查

配置靜態(tài)IPSG功能（可以不配置dhcp snooping，不配置信任接口）

user-bind static 【ip-address】 【mac-address】 【vlan】? ?配置靜態(tài)綁定表

ip source check user-bind enable? ? ? ? ? ?????????????????????????????????開啟IPSG檢查

此時沒有dhcp snooping生成的動態(tài)綁定表，因此通過靜態(tài)綁定表來進行ipsg檢查

配置動態(tài)IPSG功能（利用綁定表防御源IP欺騙攻擊，需要配置信任接口）

先配置DHCP Snooping，然后再配置IPSG

ip source check user-bind enable? ? ? ? 開啟IPSG檢查

ip source check user-bind check-item ip-address mac-address? ? ? ? 配置IPSG只檢查報文的IP地址和MAC地址

動態(tài)ARP檢測技術（DAI）

DAI通過綁定表來防止arp欺騙，主要用于防御中間人攻擊的場景，避免設備上合法用戶的arp表項被攻擊者發(fā)送的偽造arp報文錯誤更新

綁定表類型（一般在主機側開啟DAI）

1、配置靜態(tài)綁定表，手動配置IP地址、MAC地址、Vlan等信息綁定（一般對于靜態(tài)配置IP地址的用戶單獨配置靜態(tài)綁定表，作為動態(tài)綁定表的補充）

2、通過DHCP Snooping生成的動態(tài)綁定表來防止arp攻擊

DAI工作原理

如果設備為非信任接口，才進行DAI檢查

設備收到arp報文時，將arp報文對應的源IP地址、源MAC地址、接口、Vlan等信息和綁定表的信息進行對比（如果信息匹配，則允許arp報文通過；如果信息不匹配，則丟棄該arp報文）

配置動態(tài)ARP檢測技術（必須配置dhcp snooping）

配置DHCP Snooping

user-bind static 【ip-address】 【mac-address】 【vlan】? 配置靜態(tài)綁定表

接口下：arp anti-attack check user-bind enable? ? ? ? 使能DAI

注意事項

DAI只可以適用于dhcp snooping場景

DAI的配置靜態(tài)綁定表是作為動態(tài)綁定表的補充，配置靜態(tài)綁定表也必須開啟dhcp snooping

IPSG配置靜態(tài)綁定表時可以不用配置dhcp snooping

配置DHCP Snooping

正常配置DHCP服務器1，通過全局地址池的方式分配地址

PC1屬于Vlan1（即LSW1上不需要做Vlan相關配置）

必選配置

開啟DHCP（開啟DHCP后才可以配置DHCP Snooping）

dhcp enable

開啟IPv4的DHCP Snooping

dhcp snooping enable ipv4??

接口開啟DHCP Snooping并配置信任端口

interface Ethernet0/0/1?? 與服務器相連端口

?dhcp snooping enable?? 開啟DHCP Snooping

?dhcp snooping trusted?? 配置端口為信任端口

interface Ethernet0/0/2??? 與客戶端相連端口

?dhcp snooping enable

可選配置

配置當用戶下線后刪除本地綁定表

dhcp snooping user-offline remove mac-address?

配置ARP與DHCP Snooping聯(lián)動

arp dhcp-snooping-detect enable?

在Vlan1內(nèi)配置DHCP Request檢查（防止攻擊者仿冒用戶的DHCP Request報文）

dhcp snooping check dhcp-request enable vlan 1?

查看DHCP Snooping綁定表

文章來源地址http://www.zghlxwxcb.cn/news/detail-508519.html

到了這里，關于IP安全講解（DHCP Snooping、IPSG、DAI）的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！