第二卷(DAI心法)
第二卷较为复杂,需要修炼者具有较深厚的内力,任督二脉具通者修炼更为提速。修炼第二卷需要一些先天条件:DHCPserver一台、CISCO4506一台(仅用于举例)、CISCO3550\2950若干。
第一式:搭建DHCPserver
这是第二卷的心法的基础, DHCPserver可以用windows搭建也可以用linux\UNIX 搭建。我比较懒,就用windows搭建吧。基本上有多少个VLAN 就要在DHCPserver里面做多少个域。但是有一点就是,server就不需要做DHCP 了。
第二式:在4506上面启用DHCPrelay
Switch(Config)#ServiceDhcp
Switch(Config)#Ip Dhcp Relay Information check
第三式:给每个VLAN 定义 DHCPserver
在VLAN虚接口下
interface Vlan2 (这个是服务器所在的 VLAN)
description server
!
interface Vlan3
ip address 10.167.89.62255.255.255.192
IP helper‐address10.167.88.7(这就是给VLAN添加DHCP服务器的命令)
ip pim dense-mode
!
第四式:启动 ip dhcp snooping
ip dhcp snooping vlan3‐7,9,101‐105(需要在哪个VLAN上启用就写哪个VLAN的VLAN 号)
no ip dhcp snooping information option
ip dhcp snooping
这一步按照我的理解就是建立一个IP和MAC的对应关系,但是,这个对应关系的来源是来自DHCP。
第五式:启动ip arp inspection并记录日(记录日志非常重要,后面需要用它找到网段中发送ARP异常的机器。)
ip arp inspection vlan 3‐7,9,101,200 (设置需要启用Ip arp inspection的VLAN)
ip arp inspection log‐buffer entries 1024(这个就不用说了吧,字面上都看得出来)
ip arp inspection log‐buffer logs 1024 interval 10
ip arp inspection limitrate30(这是设置ARP阀值,超过此阀值会直接导致端口因发生err‐disable错误而DOWN)
这已是里面我认为最重要的就是最后一条,如何能保证网络的稳定运行,就靠它了,那个端口发生问题就把那个关掉,以免影响 VLAN 内其它机器。
第六式:设置err‐disable 恢复条件
第五式中端口会被DOWN掉,那怎么恢复呢?不能一直被 DOWN。在这里我们有两个选择。
一、手动将端口 shutdown 、noshutdown,对于我这个天下第一懒武术家怎么能忍受这种笨到家的办法呢!
二、使用 errdisable recovery心法
errdisable recovery cause arp‐inspection(对arp‐inspection产生的errdisable 事件使用自动恢复)
errdisable recovery interval 30(恢复时间为相对时间 30 秒)
第七式:设置端口为untrust
Switch(Config)#interface range fastEthernet 2/1每-48
Switch(config‐if‐range)#no ip arp inspection trust(设置端口为untrust端口,这样ip arp inspection才会在这个端口上生效)
第八
式:设置日志服务器
logging source‐interface GigabitEthernet1/2(发送日志的源接口)
logging 10.167.88.7(日志服务器地址)
第九式:法外开恩
有些网段里面可能有一些计算机不能更改地址,或者是一些设备不能使用DHCP。那么我们就要法外开恩,不对他们进行检测。
第一招:定义arp access-list
arp access-list caiwuliwai
permit ip host 10.167.91.10 mac any log
arp access-list shengchanliwai
permit ip host 10.167.90.101 mac any log
permit ip host 10.167.90.66 mac any log
第二招: ip arp inspection filter
ip arp inspection filter caiwuliwai vlan 4
ip arp inspection filter shengchanliwai vlan 103
第十式:搭建日志服务器
我用的是 KiwiSyslogDaemon轻量级的日志系统。
至此第二卷全部结束。
心法要领说明:
17:56:00:%SW_DAI坼4坼DHCP_SNOOPING_DENY:1InvalidARPs(Req)onFa4/19,vlan
200.([000a.e43e.c463/192.168.200.100/0000.0000.0000/192.168.200.100/08:12:15 UTCWed Apr262006])这个设备的时间我没调整
这个日志说明用户没有使用 DHCP,而是使用手工指定的方式配置 Ip 地址。
03:23:09:%SW_DAI坼4坼PACKET_RATE_EXCEEDED:16 packets received in 4 milliseconds on Fa6/10 (阀值值超过报警)
03:23:09:%PM-4-ERR_DISABLE:arp-inspection error detected on Fa6/10,putting Fa6/10 in
err-disable state(端口自动关闭)
这个日志说明这个端口接收到的 ARP报文超过了阀值,端口自动关闭。
本心法还可防止用户手工配置IP地址,有利于管理。
这个心法对于那种疯狂发送 ARP报文,还有那种 ARP扫描都很有效。Arp 扫描我使用的是WinArpAttacker3.50。
除此之外,为防止交换机下面挂的傻HUB、杂牌交换机上的PC互相攻击的问题,采用编写脚本下发的模式,脚本在附件里面。
以上所提到的攻击和欺骗行为主要来自网络的第二层。在网络实际环境中,其来源可概括为两个途径:人为实施,病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探,获取管理帐户和相关密码,在网络上中安插木马,从而进行进一步窃取机密文件。攻击和欺骗过程往往比较隐蔽和安静,但对于信息安全要求高的企业危害是极大的。木马、蠕虫病毒的攻击不仅仅是攻击和欺骗,同时还会带来网络流量加大、设备CPU利用率过高、二层生成树环路、网络瘫痪等现象。
网络第二层的攻击是网络安全攻击者最容易实施,也是最不容易被发现的安全威胁,它的目标是让网络失效或者通过获取诸如密码这样的敏感信息而危及网络用户的安全。因为任何一个合法用户都能
获取一个以太网端口的访问权限,这些用户都有可能成为黑客,同时由于设计OSI模型的时候,允许不同通信层在相互不了解情况下也能进行工作,所以第二层的安全就变得至关重要。如果这一层受到黑客的攻击,网络安全将受到严重威胁,而且其他层之间的通信还会继续进行,同时任何用户都不会感觉到攻击已经危及应用层的信息安全。
所以,仅仅基于认证(如IEEE 802.1x)和访问控制列表(ACL,Access Control Lists)的安全措施是无法防止本文中提到的来自网络第二层的安全攻击。一个经过认证的用户仍然可以有恶意,并可以很容易地执行本文提到的所有攻击。目前这类攻击和欺骗工具已经非常成熟和易用。
归纳前面提到的局域网目前普遍存在的安全问题,根据这些安全威胁的特征分析,这些攻击都来自于网络的第二层,主要包括以下几种:
? MAC地址泛滥攻击
? DHCP服务器欺骗攻击
? ARP欺骗
? IP/MAC地址欺骗
Cisco Catalyst 智能交换系列的创新特性针对这类攻击提供了全面的解决方案,将发生在网络第二层的攻击阻止在通往内部网的第一入口处,主要基于下面的几个关键的技术。
? Port Security
? DHCP Snooping
? Dynamic ARP Inspection (DAI)
? IP Source Guard
下面主要针对目前这些非常典型的二层攻击和欺骗说明如何在思科交换机上组合运用和部署上述技术,从而防止在交换环境中的“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等,更具意义的是通过上面技术的部署可以简化地址管理,直接跟踪用户IP和对应的交换机端口,防止IP地址冲突。同时对于大多数具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。
1. MAC地址泛滥攻击的防范
MAC泛滥攻击的原理和危害
交换机主动学习客户端的MAC地址,并建立和维护端口和MAC地址的对应表以此建立交换路径,这个表就是通常我们所说的CAM表。CAM表的大小是固定的,不同的交换机的CAM表大小不同。MAC/CAM攻击是指利用工具产生欺骗MAC,快速填满CAM表,交换机CAM表被填满。黑客发送大量带有随机源MAC地址的数据包,这些新MAC地址被交换机CAM学习,很快塞满MAC地址表,这时新目的MAC地址的数据包就会广播到交换机所有端口,交换机就像共享HUB一样工作,黑客可以用sniffer工具监听所有端口的流量。此类攻击不仅造成安全性的破坏,同时大量的广播包降低了交换机的性能。
当交换机的CAM表被填满后,交换机以广播方式处理通过交换机的报文,这时攻击者可以利用各种嗅探攻击获取网络信息。更为严重的是,这种攻击也会导致所有邻接的交换机CAM表被填满,流量以洪泛方式发送到所有交换机的所有含有此VLAN的
接口,从而造成交换机负载过大、网络缓慢和丢包甚至瘫痪。
防范方法
限制单个端口所连接MAC地址的数目可以有效防止类似macof工具和SQL蠕虫病毒发起的攻击,macof可被网络用户用来产生随机源MAC地址和随机目的MAC地址的数据包,可以在不到10秒的时间内填满交换机的CAM表。Cisco Catalyst交换机的端口安全(Port Security)和动态端口安全功能可被用来阻止MAC泛滥攻击。例如交换机连接单台工作站的端口,可以限制所学MAC地址数为1;连接IP电话和工作站的端口可限制所学MAC地址数为3:IP电话、工作站和IP电话内的交换机。
通过端口安全功能,网络管理员也可以静态设置每个端口所允许连接的合法MAC地址,实现设备级的安全授权。动态端口安全则设置端口允许合法MAC地址的数目,并以一定时间内所学习到的地址作为合法MAC地址。
通过配置Port Security可以控制:
? 端口上最大可以通过的MAC地址数量
? 端口上学习或通过哪些MAC地址
? 对于超过规定数量的MAC处理进行违背处理
端口上学习或通过哪些MAC地址,可以通过静态手工定义,也可以在交换机自动学习。交换机动态学习端口MAC,直到指定的MAC地址数量,交换机关机后重新学习。目前较新的技术是Sticky Port Security,交换机将学到的mac地址写到端口配置中,交换机重启后配置仍然存在。
对于超过规定数量的MAC处理进行处理一般有三种方式(针对交换机型号会有所不同):
? Shutdown:端口关闭。
? Protect:丢弃非法流量,不报警。
? Restrict:丢弃非法流量,报警。
配置示例
Port Security配置选项:
Switch(config-if)# switchport port-security ?
aging Port-security aging commands
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode
配置Port Security最大MAC数目,违背处理方式,恢复方法:
Cat4507(config)#int fastEthernet 3/48
Cat4507 (config-if)#switchport port-security
Cat4507 (config-if)#switchport port-security maximum 2
Cat4507 (config-if)#switchport port-security violation shutdown
Cat4507 (config)#errdisable recovery cause psecure-violation
Cat4507 (config)#errdisable recovery interval 30
通过配置sticky port-security学得的MAC:
interface FastEthernet3/29
switchport mode access
switchport port-security
switchport port-security maximum 5
switchport port-security mac-address sticky
switchport port-security mac-address sticky 000b.db1d.6ccd
switchport port-security mac-address sticky 000b.db1d.6cce
switchport port-security mac-address sticky 000d.6078.2d95
switchport port-security mac-address sticky 000e.848e.ea01
2. DHCP欺骗攻击的防范
采用DHCP管理的常见问题
采用DHCP server可以自动为用户设置网络IP地址、掩码、网
关、DNS、WINS等网络参数,简化了用户网络设置,提高了管理效率。但在DHCP管理使用上也存在着一些另网管人员比较问题,常见的有:
? DHCP server 的冒充。
? DHCP server的DOS攻击。
? 有些用户随便指定地址,造成网络地址冲突。
? 由于DHCP 的运作机制,通常服务器和客户端没有认证机制,如果网络上存在多台DHCP服务器将会给网络照成混乱。
? 由于不小心配置了DHCP服务器引起的网络混乱也非常常见。
黑客利用类似Goobler的工具可以发出大量带有不同源MAC地址的DHCP请求,直到DHCP服务器对应网段的所有地址被占用,此类攻击既可以造成DOS的破坏,也可和DHCP服务器欺诈结合将流量重指到意图进行流量截取的恶意节点。
DHCP服务器欺诈可能是故意的,也可能是无意启动DHCP服务器功能,恶意用户发放错误的IP地址、DNS服务器信息或默认网关信息,以此来实现流量的截取。
一个“不可靠”的DHCP服务器通常被用来与攻击者协作,对网络实施“中间人”MITM(Man-In-The-Middle)攻击。中间人攻击是一种攻击者利用正常的协议处理行为来更改两个终端之间的正常通信数据流而形成的一种攻击技术。首先一个黑客会广播许多含有欺骗性MAC地址的DHCP请求(动态主机配置请求),从而耗尽合法DHCP服务器上的地址空间,一旦其空间地址被耗尽,这个“不可靠”的DHCP服务器就开始向“用户”的DHCP请求进行应答了,这些应答信息中将包括DNS服务器和一个默认网关的信息,这些信息就被用来实施一个MITM中间人攻击。黑客也可以利用冒充的DHCP服务器,为用户分配一个经过修改的DNS Server,在用户毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务网站,骗取用户帐户和密码,这种攻击是非常恶劣的。
DHCP Snooping技术概述
DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。 通过截取一个虚拟局域网内的DHCP信息,交换机可以在用户和DHCP服务器之间担任就像小型安全防火墙这样的角色,“DHCP监听”功能基于动态地址分配建立了一个DHCP绑定表,并将该表存贮在交换机里。在没有DHCP的环境中,如数据中心,绑定条目可能被静态定义,每个DHCP绑定条目包含客户端地址(一个静态地址或者一个从DHCP服务器上获取的地址)、客户端MAC地址、端口、VLAN ID、租借时间、绑定类型(静态的或者动态的)。如下表所示:
cat4507#sh ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------- ---- --------------------
00:0D:60:2D:45:0D 1
0.149.3.13 600735 dhcp-snooping 100 GigabitEthernet1/0/7
这张表不仅解决了DHCP用户的IP和端口跟踪定位问题,为用户管理提供方便,而且还供给动态ARP检测(DAI)和IP Source Guard使用。
基本防范
为了防止这种类型的攻击,Catalyst DHCP侦听(DHCP Snooping)功能可有效阻止此类攻击,当打开此功能,所有用户端口除非特别设置,被认为不可信任端口,不应该作出任何DHCP响应,因此欺诈DHCP响应包被交换机阻断,合法的DHCP服务器端口或上连端口应被设置为信任端口。
Catalyst DHCP侦听(DHCP Snooping)对于下边介绍的其他阻止ARP欺骗和IP/MAC地址的欺骗是必需的。
首先定义交换机上的信任端口和不信任端口,对于不信任端口的DHCP报文进行截获和嗅探,DROP掉来自这些端口的非正常DHCP响应应报文,如下图所示:
基本配置示例如下表:
IOS全局命令:
ip dhcp snooping vlan 100,200 /*定义哪些VLAN启用DHCP嗅探
ip dhcp snooping
接口命令:
ip dhcp snooping trust
no ip dhcp snooping trust (Default)
ip dhcp snooping limit rate 10 (pps) /*一定程度上防止DHCP拒绝服务攻击*/
手工添加DHCP绑定表:
ip dhcp snooping binding 000b.db1d.6ccd vlan 10 1.1.1.1 interface gi1/1 expiry 1000
导出DHCP绑定表到TFTP服务器:
ip dhcp snooping database tftp://10.1.1.1/directory/file
需要注意的是DHCP绑定表要存在本地存贮器(Bootfalsh、slot0、ftp、tftp)或导出到指定TFTP服务器上,否则交换机重启后DHCP绑定表丢失,对于已经申请到IP地址的设备在租用期内,不会再次发起DHCP请求,如果此时交换机己经配置了下面所讲到的DAI和IP Source Guard技术,这些用户将不能访问网络。
高级防范
对于类似Gobbler的DHCP 服务的DOS攻击可以利用前面的Port Security限制源MAC地址数目加以阻止,对于有些用户随便指定地址,造成网络地址冲突也可以利用后面提到的DAI和IP Source Guard技术。
有些复杂的DHCP攻击工具可以产生单一源MAC地址、变化DHCP Payload信息的DHCP请求,当打开DHCP侦听功能,交换机对非信任端口的DHCP请求进行源MAC地址和DHCP Payload信息的比较,如不匹配就阻断此请求。
3. ARP欺骗攻击原理和防范
ARP欺骗攻击原理
ARP是用来实现MAC地址和IP地址的绑定,这样两个工作站才可以通讯,通讯发起方的工作站以MAC广播方式发送ARP请求,拥有此IP地址的工作站给予ARP应答,送回自己的IP和MAC地址。ARP协议同时支持一种无请求ARP功能,局域网段上的所有工作站收到主动ARP广播,会将发送者的MAC地址和其宣布的IP地址保存,覆盖以前cache的同一IP地址和对应的MAC地址,主动式ARP合法的用途是用来以备份的工作站替换失败的工作站。由于ARP无任何身份真实校验机制,黑客程序发送误导
的主动式ARP使网络流量重指经过恶意攻击者的计算机,变成某个局域网段IP会话的中间人,达到窃取甚至篡改正常传输的功效。黑客程序发送的主动式ARP采用发送方私有MAC地址而非广播地址,通讯接收方根本不会知道自己的IP地址被取代。为了保持ARP欺骗的持续有效,黑客程序每隔30秒重发此私有主动式ARP。黑客工具如ettercap、dsniff和arpspoof都能实现ARP哄骗功能。像ettercap可提供一个用户界面,在对本地网段所有工作站的扫描后,ettercap显示所有工作站源地址和目的地址,选择ARP哄骗命令后,除数据包的截取外,内置的智能sniffer功能还可以针对不同IP会话获取password信息。
这里举个例子,假定同一个局域网内,有3 台主机通过交换机相连:
A 主机:IP 地址为192.168.0.1,MAC 地址为01:01:01:01:01:01
B 主机:IP 地址为192.168.0.2,MAC 地址为02:02:02:02:02:02
C 主机:IP 地址为192.168.0.3,MAC 地址为03:03:03:03:03:03
B 主机对A 和C 进行欺骗的前奏就是发送假的ARP 应答包,如图所示:
在收到B主机发来的ARP应答后,A主机应知道:
到192.168.0.3 的数据包应该发到MAC地址为020********* 的主机;C 主机也知道:到192.168.0.1 的数据包应该发到MAC 地址为020********* 的主机。这样,A 和C 都认为对方的MAC 地址是020*********,实际上这就是B 主机所需得到的结果。当然,因为ARP 缓存表项是动态更新的,其中动态生成的映射有个生命期,一般是两分钟,如果再没有新的信息更新,ARP 映射项会自动去除。所以,B还有一个“任务”,那就是一直连续不断地向A 和C 发送这种虚假的ARP 响应包,让其ARP缓存中一直保持被毒害了的映射表项。
现在,如果A 和C 要进行通信,实际上彼此发送的数据包都会先到达B 主机,这时,如果B 不做进一步处理,A 和C 之间的通信就无法正常建立,B 也就达不到“嗅探”通信内容的目的,因此,B 要对“错误”收到的数据包进行一番修改,然后转发到正确的目的地,而修改的内容,无非是将目的MAC 和源MAC 地址进行替换。如此一来,在A 和C 看来,彼此发送的数据包都是直接到达对方的,但在B 来看,自己担当的就是“第三者”的角色。这种嗅探方法,也被称作中间人MIMT(Man-In-The-Middle)的方法。如图 所示。
防范方法
这些攻击都可以通过动态ARP检查(DAI,Dynamic ARP Inspection)来防止,它可以帮助保证接入交换机只传递“合法的”的ARP请求和应答信息。DHCP Snooping监听绑定表包括IP地址与MAC地址的绑定信息并将其与特定的交换机端口相关联,动态ARP检测(DAI-Dynamic ARP Inspection)可以用来检查所有非信任端口的ARP请求和应答(主动式ARP和非主动式ARP),确保应答来自
真正的ARP所有者。Catalyst交换机通过检查端口纪录的DHCP绑定信息和ARP应答的IP地址决定是否真正的ARP所有者,不合法的ARP包将被删除。
DAI配置针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭,如果ARP包从一个可信任的接口接受到,就不需要做任何检查,如果ARP包在一个不可信任的接口上接受到,该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样,DHCP Snooping对于DAI来说也成为必不可少的,DAI是动态使用的,相连的客户端主机不需要进行任何设置上的改变。对于没有使用DHCP的服务器个别机器可以采用静态添加DHCP绑定表或ARP access-list实现。
另外,通过DAI可以控制某个端口的ARP请求报文频率。一旦ARP请求频率的频率超过预先设定的阈值,立即关闭该端口。该功能可以阻止网络扫描工具的使用,同时对有大量ARP报文特征的病毒或攻击也可以起到阻断作用。
配置示例
IOS全局命令:
ip dhcp snooping vlan 100,200
no ip dhcp snooping information option
ip dhcp snooping
ip arp inspection vlan 100,200 /*定义对哪些VLAN进行ARP报文检测*/
ip arp inspection log-buffer entries 1024
ip arp inspection log-buffer logs 1024 interval 10
IOS接口命令:
ip dhcp snooping trust
ip arp inspection trust /*定义哪些接口是信任接口,通常是网络设备接口,TRUNK接口等*/
ip arp inspection limit rate 15 (pps) /*定义接口每秒ARP报文数量*/
对于没有使用DHCP设备可以采用下面办法:
arp access-list static-arp
permit ip host 10.66.227.5 mac host 0009.6b88.d387
ip arp inspection filter static-arp vlan 201
配置DAI后的效果
在配置DAI技术的接口上,用户端不能采用指定地址地址将接入网络。
由于DAI检查 DHCP snooping绑定表中的IP和MAC对应关系,无法实施中间人攻击,攻击工具失效。下表为实施中间人攻击是交换机的警告:
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16, vlan 1.([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2
由于对ARP请求报文做了速度限制,客户端无法进行认为或者病毒进行的IP扫描、探测等行为,如果发生这些行为,交换机马上报警或直接切断扫描机器。如下表所示:
3w0d: %SW_DAI-4-PACKET_RATE_EXCEEDED: 16 packets received in 184 milliseconds on Fa5/30. ******报警
3w0d: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa5/30, putting Fa5/30 in err-disable state ******切断端口
I49-4500-1#.....sh int f.5/30
FastEthernet5/30 is down, line protocol is down (err-disabled)
Hardware is Fast Ethernet Port, address is 0002.b90e.3f4d (bia 0002.b90e.3f4d)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
I49-4500-1#......
4. IP/MAC欺骗的防范
常见的欺骗攻击的种类和目的
除
了ARP欺骗外,黑客经常使用的另一手法是IP地址欺骗。常见的欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗,其目的一般为伪造身份或者获取针对IP/MAC的特权。
此方法也被广泛用作DOS攻击,目前较多的攻击是:Ping Of Death、Syn flood、ICMP Unreacheable Storm。如黑客冒用A地址对B地址发出大量的ping包,所有ping应答都会返回到B地址,通过这种方式来实施拒绝服务(DoS)攻击,这样可以掩盖攻击系统的真实身份。富有侵略性的TCP SYN洪泛攻击来源于一个欺骗性的IP地址,它是利用TCP三次握手会话对服务器进行颠覆的又一种攻击方式。一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。
另外病毒和木马的攻击也会使用欺骗的源IP地址。互联网上的蠕虫病毒也往往利用欺骗技术来掩盖它们真实的源头主机。
IP/MAC欺骗的防范
Catalyst IP源地址保护(IP Source Guard)功能打开后,可以根据DHCP侦听记录的IP绑定表动态产生PVACL,强制来自此端口流量的源地址符合DHCP绑定表的记录,这样攻击者就无法通过假定一个合法用户的IP地址来实施攻击了,这个功能将只允许对拥有合法源地址的数据保进行转发,合法源地址是与IP地址绑定表保持一致的,它也是来源于DHCP Snooping绑定表。因此,DHCP Snooping功能对于这个功能的动态实现也是必不可少的,对于那些没有用到DHCP的网络环境来说,该绑定表也可以静态配置。
IP Source Guard不但可以配置成对IP地址的过滤也可以配置成对MAC地址的过滤,这样,就只有IP地址和MAC地址都于DHCP Snooping绑定表匹配的通信包才能够被允许传输。此时,必须将 IP源地址保护IP Source Guard与端口安全Port Security功能共同使用,并且需要DHCP服务器支持Option 82时,才可以抵御IP地址+MAC地址的欺骗。
与DAI不同的是,DAI仅仅检查ARP报文, IP Source Guard对所有经过定义IP Source Guard检查的端口的报文都要检测源地址。
通过在交换机上配置IP Source Guard,可以过滤掉非法的IP/MAC地址,包含用户故意修改的和病毒、攻击等造成的。同时解决了IP地址冲突问题。
配置示例
检测接口上的IP+MAC
IOS 全局配置命令:
ip dhcp snooping vlan 12,200
ip dhcp snooping information option
ip dhcp snooping
接口配置命令:
ip verify source vlan dhcp-snooping port-security
switchport mode access
switchport port-security
switchport port-security maximum 3
检测接口上的IP
IOS 全局配置命令
ip dhcp snooping vlan 12,200
no ip dhcp snooping information option
ip dhcp snooping
接口配置命令:
ip verify source vlan dhcp-snooping
不使用DHCP的静态配置
IOS 全局配置命令:
ip dhcp snooping vlan 12,200
ip dhcp snooping information option
ip dhcp snooping
ip source binding 0009.6b88.d387 vlan 212 10.66.227.5 interface Gi4/5