DHCP欺骗及解决方案

网络 admin 109℃ 0评论

 DHCP Snooping配置

DHCP攻击

为了防止在网络中存在非法的DHCP服务器,可以在交换机端口设置信任端口。

只有信任端口能够响应DHCP请求。

配置命令

(config)#ip dhcp snooping                         //打开DHCP snooping功能

(config)#ip dhcp snooping                        //打开DHCP
Snooping功能

(config)#ip dhcp snooping vlan 10               //设置DHCP Snooping功能将作用于哪些VLAN

(config)#ip dhcp snooping verify mac-address    //检测非信任端口收到的DHCP请求报文的源MAC和CHADDR字段是否相同,以防止DHCP耗竭攻击,该功能默认即为开启

(config-if)#ip dhcp snooping trust            //配置接口为DHCP监听特性的信任接口,所有接口默认为非信任接口

(config-if)#ip dhcp snooping limit rate 15      //限制非信任端口的DHCP报文速率为每秒15个包

 所有的TRUNK口需要设置为信任端口。

 

在全局启用DHCP
Snooping:

Switch(config)# ip dhcp snooping

启用DHCP
option 82:

Switch(config)# ip dhcp snooping information option

把DHCP服务器所连的接口或上行链路接口配置为可信端口

Switch(config-if)# ip dhcp snooping trust

配置该端口上每秒可接受DHCP数据包数量:

Switch(config-if)# ip dhcp snooping limit rate [rate]

在指定VLAN启用DHCP侦听功能

Switch(config)# ip dhcp snooping vlan number [number]

创建静态DHCP binding table:

Switch#ip
dhcp snooping binding mac-address vlan vlan-id ip-address interface interface-id expiry seconds

 

配置IP源防护(IPSG)

在全局启用DHCP
Snooping:

Switch(config)# ip dhcp snooping

在指定VLAN启用DHCP侦听功能

Switch(config)# ip dhcp snooping vlan number [number]

启用IP源防护并使用源IP过滤

Switch(config-if)# ip verify source vlan
dhcp-snooping

启用IP源防护并使用源IP和源MAC过滤

Switch(config-if)# ip verify source vlan
dhcp-snooping 
port-security

为违规的数据包限速

Switch(config-if)# switchpor  port-security limit rate invalid-source-mac N

 

©声明:本站原创文章采用 BY-NC-SA 创作共用协议,转载时请标明原文地址。
©转载请注明:
极客乐园 » DHCP欺骗及解决方案

喜欢 (0)or分享 (0)
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

极客乐园 —— 网络技术学习分享的伊甸园

感谢又拍云赞助图片加速又拍云