2024年5月31日发(作者:)

交换机安全-实施DHCP Snooping和IP ARP inspection

功能了解

了解DHCP Snooping

1. DHCP Snooping功能概述

DHCP都非常熟悉了,对于DHCP客户端而言,初始过程中都是通过发送广播的DHCP

discovery消息寻找DHCP服务器,然而这时候如果内网中存在私设的DHCP服务器,那么

就会对网络造成影响,例如客户端通过私设的DHCP服务器拿到一个非法的地址,最终导

致PC无法上网。

2. DHCP Snooping技术特性

特性 功能 支持条件

2918/2950 不支持,2960

部署建议

能防止网络中伪装DHCP

DHCP Snooping

防止伪装DHCP服务

器防止DHCP欺骗/攻

是最低支持版本不能防止 接入,建议至少在核心和汇

ARP 欺骗/攻击 聚层实施该特性,条件具备

时,尽量全网实施。

3. DHCP Snooping基本特征

DHCP Snooping将交换机分为Trust和Untrust两种安全级别端口

DHCP Snooping仅接收并处理来自Trust接口的DHCP报文信息

DHCP Snooping仅对目标VLAN起作用,其他Vlan无影响

DHCP Snooping维护一张基本绑定数据库(binding database)保存针对Untrust接口的

MAC地址、IP地址(DHCP分配的)、租期、绑定类型、VLAN号、接口编号

DHCP Snooping为DAI的防ARP欺骗提供基本条件

4. DHCP Snooping保护目的

防止局域网内非法私立DHCP服务器分发IP地址,影响网络

5. DHCP Snooping实施原则:

 条件具备的情况下,全网实施效果最好

 DHCP Snooping实施后,对整个 VLAN 生效,默认端口为非信任端口,因此建议反向

实施,即先部署DHCP Snooping,再修改接入交换机的上行接口为信任接口。

6. DHCP Snooping实施范围

 条件具备的情况下,全网接入交换机均需实施DHCP Snooping保护

Snooping实施条件

 交换机 IOS 须支持DHCP Snooping特性

了解IP ARP inspection(DAI)

保护概述:

(本文所述DAI保护指DAI及DHCP snooping的集成使用)

与DHCP snooping一样,DAI(Dynamic ARP inspection)也是Cisco CISF(Catalyst

Integrated Security Features)安全特性中的一项安全防护技术,主要用于防止MAC地址

欺骗。其核心工作原理是在非信任端口截获每一个ARP请求和响应,在转发该ARP包到

目的端口之前,检测该ARP包是否合法,如合法,则包被转发的目的端口;如不合法,则