當交換機開啟了 dhcp-snooping後,會對dhcp報文進行偵聽,並可以從接收到的dhcp request或dhcp ack報文中提取並記錄ip位址和mac位址資訊。另外,dhcp-snooping允許將某個物理埠設定為信任埠或不信任埠。信任埠可以正常接收並**dhcp offer報文,而不信任埠會將接收到的dhcp offer報文丟棄。這樣,可以完成交換機對假冒dhcp server的遮蔽作用,確保客戶端從合法的dhcp server獲取ip位址。
dhcp snooping技術是dhcp安全特性,通過建立和維護dhcp snooping繫結表過濾不可信任的dhcp資訊,這些資訊是指來自不信任區域的dhcp資訊。dhcp snooping繫結表包含不信任區域的使用者mac位址、ip位址、租用期、vlan-id 介面等資訊。
作用1.隔絕非法的dhcp server,通過配置非信任埠。
2.與交換機dai的配合,防止arp病毒的傳播。
3.建立和維護一張dhcp-snooping的繫結表,這張表一是通過dhcp ack包中的ip和mac位址生成的,二是可以手工指定。這張表是後續dai(dynamic arp inspect)和ipsource guard 基礎。這兩種類似的技術,是通過這張表來判定ip或者mac位址是否合法,來限制使用者連線到網路的。
4.通過建立信任埠和非信任埠,對非法dhcp伺服器進行隔離,信任埠正常**dhcp資料報,非信任埠收到的伺服器響應的dhcp offer和dhcpack後,做丟包處理,不進行**。
防止arp汙染
dhcp snooping還可以跟蹤主機的物理位置,從而可以防禦(arp)快取汙染。它在防禦這些的過程中發揮重要作用,因為您可以使用dhcp snooping技術丟棄一些**與目標mac位址不符合已定義規則的dhcp訊息。管理會收到通過dhcp snooping警報通知的違規行為。當dhcp snooping服務檢測到違規行為時,它會在系統日誌伺服器上記錄一條訊息「dhcp snooping」。
dhcp snooping是實現2層協議流量安全性的第一步。惡意dhcp伺服器不僅會導致網路問題,它們還可以被者用於**敏感流量和發起中間人。如果還沒有做好這些措施,那麼一定要考慮實現這些防禦措施,保證網路基礎架構的安全性。
新聞隨筆 華三
據9月29日早間外電報道,網路裝置製造商3com表示,公司簽訂的收購協議附帶6,600萬美元的解約費。據3com遞交給美國 交易委員會的檔案,如果交易在某些情況下未能完成,該公司需要向bain capital和華為支付不超過2,000萬美元的費用。檔案顯示,若交易因某些情況而終止,收購方也需要向3c...
華三MVRP的配置
拓撲結構 mvrp 多vlan註冊協議 步驟 進入 mst 域檢視。配置 mst 域的網域名稱 vlan 對映關係和修訂級別。手工啟用 mst 域的配置。定義根橋。全域性使能生成樹協議。全域性使能 mvrp 功能。埠設定trunk設定相應vlan通過 埠使能mvrp 配置 a system view...
華三裝置巡檢命令
system view 進入系統檢視 user inte ce vty 0 4 vty就是用telnet遠端進入交換機的介面 虛擬介面 五個使用者進去都是使用以下配置,第六個不是 screen length 0 指定要在螢幕上顯示行數,0預設是沒有分頁 全部顯示 quit 離開虛擬介面配置檢視,回到...