如何開(kāi)啟Cisco交換機(jī)DHCP Snooping的功能

　　你還在為開(kāi)啟Cisco交換機(jī)DHCP Snooping的功能而煩惱么?不用擔(dān)心，接下來(lái)是學(xué)習(xí)啦小編為大家收集的開(kāi)啟Cisco交換機(jī)DHCP Snooping的功能方法，歡迎大家閱讀：

　　開(kāi)啟Cisco交換機(jī)DHCP Snooping的功能的方法

　　一、IP地址盜用

　　IP地址的盜用方法多種多樣，其常用方法主要有以下幾種：

　　1、靜態(tài)修改IP地址

　　對(duì)于任何一個(gè)TCP/IP實(shí)現(xiàn)來(lái)說(shuō)，IP地址都是其用戶配置的必選項(xiàng)。如果用戶在配置TCP/IP或修改TCP/IP配置時(shí)，使用的不是授 權(quán)分配的IP地址，就形成了IP地址盜用。由于IP地址是一個(gè)邏輯地址，因此無(wú)法限制用戶對(duì)于其主機(jī)IP地址的靜態(tài)修改。

　　2、成對(duì)修改IP-MAC地址

　　對(duì)于靜態(tài)修改IP地址的問(wèn)題，現(xiàn)在很多單位都采用IP與MAC綁定技術(shù)加以解決。針對(duì)綁定技術(shù)，IP盜用技術(shù)又有了新的發(fā)展，即成對(duì)修改 IP-MAC地址?，F(xiàn)在的一些兼容網(wǎng)卡，其MAC地址可以使用網(wǎng)卡配置程序進(jìn)行修改。如果將一臺(tái)計(jì)算機(jī)的 IP地址和MAC地址都改為另外一臺(tái)合法主機(jī)的IP地址和MAC地址，其同樣可以接入網(wǎng)絡(luò)。

　　另外，對(duì)于那些MAC地址不能直接修改的網(wǎng)卡來(lái)說(shuō)，用戶還可以采用軟件的辦法來(lái)修改MAC地址，即通過(guò)修改底層網(wǎng)絡(luò)軟件達(dá)到欺騙上層網(wǎng)絡(luò)軟件的目的。

　　3、動(dòng)態(tài)修改IP地址

　　某些攻擊程序在網(wǎng)絡(luò)上收發(fā)數(shù)據(jù)包，可以繞過(guò)上層網(wǎng)絡(luò)軟件，動(dòng)態(tài)修改自己的 IP地址(或IP-MAC地址對(duì))，以達(dá)到IP欺騙。

　　二、IP Source Guard技術(shù)介紹

　　IP源防護(hù)(IP Source Guard，簡(jiǎn)稱IPSG)是一種基于IP/MAC的端口流量過(guò)濾技術(shù)，它可以防止局域網(wǎng)內(nèi)的IP地址欺騙攻擊。IPSG能夠確保第2層網(wǎng)絡(luò)中終端設(shè)備的IP地址不會(huì)被劫持，而且還能確保非授權(quán)設(shè)備不能通過(guò)自己指定IP地址的方式來(lái)訪問(wèn)網(wǎng)絡(luò)或攻擊網(wǎng)絡(luò)導(dǎo)致網(wǎng)絡(luò)崩潰及癱瘓。

　　交換機(jī)內(nèi)部有一個(gè)IP源綁定表(IP Source Binding Table)作為每個(gè)端口接受到的數(shù)據(jù)包的檢測(cè)標(biāo)準(zhǔn)，只有在兩種情況下，交換機(jī)會(huì)轉(zhuǎn)發(fā)數(shù)據(jù)：

　　所接收到的IP包滿足IP源綁定表中Port/IP/MAC的對(duì)應(yīng)關(guān)系

　　所接收到的是DHCP數(shù)據(jù)包

　　其余數(shù)據(jù)包將被交換機(jī)做丟棄處理。

　　IP源綁定表可以由用戶在交換機(jī)上靜態(tài)添加，或者由交換機(jī)從DHCP監(jiān)聽(tīng)綁定表(DHCP Snooping Binding Table)自動(dòng)學(xué)習(xí)獲得。 靜態(tài)配置是一種簡(jiǎn)單而固定的方式，但靈活性很差，因此Cisco建議用戶最好結(jié)合DHCP Snooping技術(shù)使用IP Source Guard，由DHCP監(jiān)聽(tīng)綁定表生成IP源綁定表。

　　以DHCP Snooping技術(shù)為前提講一下IP Source Guard技術(shù)的原理。 在這種環(huán)境下，連接在交換機(jī)上的所有PC都配置為動(dòng)態(tài)獲取IP地址，PC作為DHCP客戶端通過(guò)廣播發(fā)送DHCP請(qǐng)求，DHCP服務(wù)器將含有IP地址信息的DHCP回復(fù)通過(guò)單播的方式發(fā)送給DHCP客戶端，交換機(jī)從DHCP報(bào)文中提取關(guān)鍵信息(包括IP地址，MAC地址，vlan號(hào)，端口號(hào)，租期等)，并把這些信息保存到 DHCP 監(jiān)聽(tīng)綁定表中。(以上這個(gè)過(guò)程是由DHCP Snooping完成的)

　　接下來(lái)的由IP Source Guard完成。交換機(jī)根據(jù)DHCP監(jiān)聽(tīng)綁定表的內(nèi)容自動(dòng)生成IP源綁定表，然后IOS根據(jù)IP源綁定表里面的內(nèi)容自動(dòng)在接口加載基于端口的VLAN ACL(PVACL)，由該ACL(可以稱之為源IP地址過(guò)濾器)來(lái)過(guò)濾所有IP流量?？蛻舳税l(fā)送的IP數(shù)據(jù)包中，只有其源IP地址滿足源IP綁定表才會(huì)被發(fā)送，對(duì)于具有源IP綁定表之外的其他源IP地址的流量，都將被過(guò)濾。

　　PC沒(méi)有發(fā)送DHCP請(qǐng)求時(shí)，其連接的交換機(jī)端口默認(rèn)拒絕除了DHCP請(qǐng)求之外的所有數(shù)據(jù)包，因此PC使用靜態(tài)IP是無(wú)法連接網(wǎng)絡(luò)的(除非已經(jīng)存在綁定好的源IP綁定條目，如靜態(tài)源IP綁定條目或者是之前已經(jīng)生成的動(dòng)態(tài)IP綁定條目還沒(méi)過(guò)期，而且PC還必須插在正確的端口并設(shè)置正確的靜態(tài)IP地址)。

　　IP源防護(hù)只支持第2層端口，其中包括接入(access)端口和干道(trunk)接口。IP源防護(hù)的信任端口/非信任端口也就是DHCP監(jiān)聽(tīng)的信任端口/非信任端口。對(duì)于非信任端口存在以下兩種級(jí)別的IP流量安全過(guò)濾：

　　源IP地址過(guò)濾：根據(jù)源IP地址對(duì)IP流量進(jìn)行過(guò)濾，只有當(dāng)源IP地址與IP源綁定條目匹配，IP流量才允許通過(guò)。當(dāng)端口創(chuàng)建、 修改、 刪除新的IP源綁定條目的時(shí)候，IP源地址過(guò)濾器將發(fā)生變化。為了能夠反映IP源綁定的變更，端口PACL將被重新修改并重新應(yīng)用到端口上。 默認(rèn)情況下，如果端口在沒(méi)有存在IP源綁定條目的情況下啟用了IP源防護(hù)功能，默認(rèn)的PACL將拒絕端口的所有流量(實(shí)際上是除 DHCP報(bào)文以外的所有IP流量)。

　　源IP和源MAC地址過(guò)濾：根據(jù)源IP地址和源MAC地址對(duì)IP流量進(jìn)行過(guò)濾，只有當(dāng)源IP地址和源MAC地址都與IP源綁定條目匹配，IP流量才允許通過(guò)。當(dāng)以IP和MAC地址作為過(guò)濾的時(shí)候，為了確保DHCP協(xié)議能夠正常的工作，還必須啟用DHCP監(jiān)聽(tīng)選項(xiàng)82。 對(duì)于沒(méi)有選項(xiàng)82的數(shù)據(jù)，交換機(jī)不能確定用于轉(zhuǎn)發(fā)DHCP服務(wù)器響應(yīng)的客戶端主機(jī)端口。相反地，DHCP服務(wù)器響應(yīng)將被丟棄，客戶機(jī)也不能獲得IP地址。

　　注：交換機(jī)使用端口安全(Port Security)來(lái)過(guò)濾源MAC地址。

　　當(dāng)交換機(jī)只使用“IP源地址過(guò)濾”時(shí)，IP源防護(hù)功能與端口安全功能是相互獨(dú)立的關(guān)系。 端口安全是否開(kāi)啟對(duì)于IP源防護(hù)功能來(lái)說(shuō)不是必須的。 如果同時(shí)開(kāi)啟，則兩者也只是一種寬松的合作關(guān)系，IP源防護(hù)防止IP地址欺騙，端口安全防止MAC地址欺騙。而當(dāng)交換機(jī)使用“源IP和源MAC地址過(guò)濾”時(shí)，IP源防護(hù)功能與端口安全功能是就變成了一種“集成”關(guān)系，更確切的說(shuō)是端口安全功能被集成到 IP源防護(hù)功能里，作為IP源防護(hù)的一個(gè)必須的組成部分。

　　在這種模式下，端口安全的違規(guī)處理(violation)功能將被關(guān)閉。對(duì)于非法的二層報(bào)文，都將只是被簡(jiǎn)單的丟棄，而不會(huì)再執(zhí)行端口安全的違規(guī)處理了。IP源防護(hù)功能不能防止客戶端PC的ARP攻擊。ARP攻擊問(wèn)題必須由DAI功能來(lái)解決。如果要支持IP源防護(hù)功能，必須是35系列及以上的交換機(jī)。2960目前不支持該功能。三、IP Source Guard的配置(IPSG配置前必須先配置ip dhcp snooping)

看了“開(kāi)啟Cisco交換機(jī)DHCP Snooping的功能”還想看：

1.思科交換機(jī)DHCPSnooping

2.Cisco交換機(jī)常用的功能性命令

3.思科模擬器交換機(jī)怎么使用

4.cisco交換機(jī)時(shí)間設(shè)置時(shí)間

5.cisco交換機(jī)設(shè)置時(shí)間

6.cisco交換機(jī)設(shè)置時(shí)區(qū)