CISCO的DAI技术.docx
- 文档编号:14392642
- 上传时间:2023-06-23
- 格式:DOCX
- 页数:10
- 大小:19.61KB
CISCO的DAI技术.docx
《CISCO的DAI技术.docx》由会员分享,可在线阅读,更多相关《CISCO的DAI技术.docx(10页珍藏版)》请在冰点文库上搜索。
CISCO的DAI技术
ARP防范在全部是Cisco交换网络里,可以通过帮定每台设备的ip和mac地址可以解决。
但是这样做比较麻烦,
可以用思科DynamicARPInspection机制解决。
防范方法
思科DynamicARPInspection(DAI)在交换机上提供IP地址和MAC地址的绑定,并动态建立绑定关系。
DAI以DHCPSnooping绑定表为基础,对于没有使用DHCP的服务器个别机器可以采用静态添加ARPaccess-list实现。
DAI配置针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭。
通过DAI可以控制某个端口的ARP请求报文数量。
通过这些技术可以防范“中间人”攻击。
3.3配置示例
IOS全局命令:
ipdhcpsnoopingvlan100,200
noipdhcpsnoopinginformationoption
ipdhcpsnooping
iparpinspectionvlan100,200/*定义对哪些VLAN进行ARP报文检测
iparpinspectionlog-bufferentries1024
iparpinspectionlog-bufferlogs1024interval10
IOS接口命令:
ipdhcpsnoopingtrust
iparpinspectiontrust/*定义哪些接口是信任接口,通常是网络设备接口,TRUNK接口等
iparpinspectionlimitrate15(pps)/*定义接口每秒ARP报文数量
对于没有使用DHCP设备可以采用下面办法:
arpaccess-liststatic-arp
permitiphost10.66.227.5machost0009.6b88.d387
iparpinspectionfilterstatic-arpvlan201
3.3配置DAI后的效果:
在配置DAI技术的接口上,用户端不能采用指定地址地址将接入网络。
由于DAI检查DHCPsnooping绑定表中的IP和MAC对应关系,无法实施中间人攻击,攻击工具失效。
下表为实施中间人攻击是交换机的警告:
3w0d:
%SW_DAI-4-DHCP_SNOOPING_DENY:
1InvalidARPs(Req)onFa5/16,
vlan1.([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2
由于对ARP请求报文做了速度限制,客户端无法进行认为或者病毒进行的IP扫描、探测等行为,如果发生这些行为,
交换机马上报警或直接切断扫描机器。
如下表所示:
3w0d:
%SW_DAI-4-PACKET_RATE_EXCEEDED:
16packetsreceivedin184millisecondsonFa5/30.******报警
3w0d:
%PM-4-ERR_DISABLE:
arp-inspectionerrordetectedonFa5/30,puttingFa5/30inerr-disablestate******切断端口
I49-4500-1#.....shintf.5/30
FastEthernet5/30isdown,lineprotocolisdown(err-disabled)
HardwareisFastEthernetPort,addressis0002.b90e.3f4d(bia0002.b90e.3f4d)
MTU1500bytes,BW100000Kbit,DLY100usec,
reliability255/255,txload1/255,rxload1/255
I49-4500-1#......
用户获取IP地址后,用户不能修改IP或MAC,如果用户同时修改IP和MAC必须是网络内部合法的IP和MAC才可,
对于这种修改可以使用下面讲到的IPSourceGuard技术来防范。
下表为手动指定IP的报警:
3w0d:
%SW_DAI-4-DHCP_SNOOPING_DENY:
1InvalidARPs(Req)onFa5/30,
vlan1.([000d.6078.2d95/192.168.1.100/0000.0000.0000/192.168.1.100/01:
52:
28UTCFriDec292000])
刚用到的技术,大家看看,也许有帮助。
CISCODAI防ARP攻击
配置局域网的安全特性,防止地址乱配,ARP攻击等弊病!
1、启用DHCPSNOOPING
全局命令:
ipdhcpsnoopingvlan10,20,30
noipdhcpsnoopinginformationoption
ipdhcpsnoopingdatabaseflash:
dhcpsnooping.text //将snooping表保存到单独文档中,防止掉电后消失。
ipdhcpsnooping
接口命令:
ipdhcpsnoopingtrust//将连接DHCP服务器的端口设置为Trust,其余unTrust(默认)
2、启用DAI,防止ARP欺骗和中间人攻击!
通过手工配置或者DHCP监听snooping,交换机将能够确定正确的端口。
如果ARP应答和
snooping不匹配,那么它将被丢弃,并且记录违规行为。
违规端口将进入err-disabled状态,攻击者也就不能继续对网络进行进一步
的破坏了!
全局命令
iparpinspectionvlan30
接口命令(交换机之间链路配置DAI信任端口,用户端口则在默认的非信任端口):
iparpinspectiontrust
iparpinspectionlimitrate100
3、启用IPSG
前提是启用IPDHCPSNOOPING,能够获得有效的源端口信息。
IPSG是一种类似于uRPF(单播反向路径检测)的二层接口特性,
uRPF可以检测第三层或路由接口。
接口命令:
switchportmodeacc
switchportport-security
ipverifysourcevlandhcp-snoopingport-security
4、关于几个静态IP的解决办法
可通过ipdhcpsnoopingbinding1.1.1vlan11.1.1.1interfacegi0/8
通过arpaccess-list添加静态主机:
arpaccess-liststatic-arp
permitiphost192.168.1.1machost0000.0000.0003
iparpinspectionfilterstatic-arpvlan30
DHCP中绑定固定IP:
ipdhcppooltest
host192.168.1.18255.255.255.0(分给用户的IP)
client-identifier0101.0bf5.395e.55(用户端mac)
client-nametest
思科交换机在全局配置模式下开启IPDHCPSNOOPING后,所有端口默认处于DHCPSNOOPINGUNTRUSTED模式下,但DHCPSNOOPING
INFORMATIONOPTION功能默认是开启的,此时DHCP报文在到达一个SNOOPINGUNTRUSTED端口时将被丢弃。
因此,必须在4506配置IP
DHCPSNOOPINGINFORMATIONOPTIONALLOW-UNTRUSTED命令(默认关闭),以允许4506从DHCPSNOOPINGUNTRUSTED端口接收带有
OPTION82的DHCPREQUEST报文。
建议在交换机上关闭DHCPINFORMATIONOPTION,即全局配置模式下NOIPDHCPSNOOPING
INFORMATIONOPTION。
7、对于允许手工配置IP地址等参数的客户端,可以手工添加绑定条目到DHCPSNOOPINGBINDING数据库中。
ipdhcpsnooping
binding00d0.2bd0.d80avlan100222.25.77.100interfacegig1/1expiry600表示手工添加一条MAC地址为00d0.2bd0.d80a,IP
地址为222.25.77.100,接入端口为GIG1/1,租期时间为600秒的绑定条目。
8、IPSG即IPSOURCEGUARD是在DHCPSNOOPING功能的基础上,形成IPSOURCEBINDING表,只作用在二层端口上。
启用IPSG的端
口,会检查接收到所有IP包,只转发与此绑定表的条目相符合的IP包。
默认IPSG只以源IP地址为条件过滤IP包,如果加上以源MAC地
址为条件过滤的话,必须开启DHCPSNOOPINGINFORMAITONOPTION82功能。
9、DAI即DYNAMICARPINSPECTION也是以DHCPSNOOPINGBINDINGDATABASE为基础的,也区分为信任和非信任端口,DAI只检测
非信任端口的ARP包,可以截取、记录和丢弃与SNOOPINGBINDING中IP地址到MAC地址映射关系条目不符的ARP包。
如果不使用DHCP
SNOOPING,则需要手工配置ARPACL。
ipdhcpsnooping+iparpinspection及在华为设备中的实现的详细说明
网友:
wysilly发布于:
2006.11.0921:
37 (共有条评论)查看评论|我要评论
在cisco设备中的配置
ipdhcpexcluded-address192.168.23.1192.168.23.20
(不由dhcp server分配的地址)
!
ipdhcppoolvlan23
(定义地址池)
network192.168.23.0255.255.255.0
(定义地址池做用的网段及地址范围)
default-router192.168.23.1
(定义客户端的默认网关)
domain-name
(定义客户端所在域)
dns-server192.168.23.2
(定义客户端的dns)
lease5
(定义地址租约时间,5天是为了在安全上考虑,客户端在可控的时间内相对固定)
ipdhcpsnooping
(打开dhcpsnooping功能,不能省略,否则在shipdhcpsnoopingbinding时将看到一个空的绑定表,客户端会时断时续)
ipdhcpsnoopingvlan23
(定义snooping作用的vlan)
ipdhcpsnoopingdatabaseflash:
dhcp
(将绑定表保存在flash中,可以避免重启设备后,从新绑定)
iparpinspectionvlan23
(定义arpinspection作用的vlan,它是根据dhcpsnoopingbinding表做判断的)
iparpinspectionvalidatesrc-macdst-macip
(侦测有效客户端须满足src-macdst-macip均无错)
iparpinspectionlog-bufferentries1024
(inspection日志大小)
iparpinspectionlog-bufferlogs1024interval300
(inspection日志刷新时间,interval太小会占用大量cpu时间)
!
!
!
errdisablerecoverycauseudld
errdisablerecoverycausebpduguard
errdisablerecoverycausesecurity-violation
errdisablerecoverycausechannel-misconfig
errdisablerecoverycausepagp-flap
errdisablerecoverycausedtp-flap
errdisablerecoverycauselink-flap
errdisablerecoverycausegbic-invalid
errdisablerecoverycausel2ptguard
errdisablerecoverycausepsecure-violation
errdisablerecoverycausedhcp-rate-limit
errdisablerecoverycauseunicast-flood
errdisablerecoverycausevmps
errdisablerecoverycausearp-inspection
errdisablerecoveryinterval30
(上面所有的是在端口因为被errdidable后能在一段时间内自动恢复,其中包括dhcpsnooping与arpinspection在端口中设限制造成的端口自动关闭)
nofileverifyauto
loggingon
(有的设备是默认打开的,在这写是因为当logging关闭时3550,3560,3750等均会占用大量cpu资源,一定勿忘打开,经测试,打开后一台3550-48下连10台48口设备,2个lan,480台计算机,正常使用.不打开,2台设备90台计算机就能让其死机)
nospanning-treeloopguarddefault
(最好不要打开,因为当spanning-tree结构稍有改变,它都会blocking,然后unblocking一些端口,造成时断时续的现象)
ipsourcebinding0060.B322.2C2Avlan23192.168.23.8interfaceGi1/0/2
(设备或计算机需用静态地址的,在这儿定义)
!
interfaceGigabitEthernet1/0/2
switchporttrunkencapsulationdot1q
switchportmodetrunk
(下连设备,所以定义为trunk口)
iparpinspectionlimitnone
(由于下连设备,为了避免inspection让端口errdisable,所以对arp的侦测不做限制,若直接为接入设备,可使用iparpinspectionlimitrate)
相关命令:
shlogging查看DymaticArpInspection(DAI)是否生效.
shipdhcpsnoopingbinding查看snooping是否生效
shipdhcpbinding看dhcpserver是否生效.
sharp看arp信息是否与dhcpsnoopingbinding表一致.
下级设备若支持dhcpsnooping可这样配置
ipdhcpsnooping
intg0/1
(上连端口)
switchporttrunkencapsulationdot1q
switchportmodetrunk
ipdhcpsnoopingtrust
(定义此端口为信任端口,从此口来的dhcpserver数据有效,避免有人乱设dhcpserver
不支持,根据设备用acl或其它禁止非信任端口发送dhcpserver数据.
_______________________________________________________________________________
华为设备
dhcp-server0ip 192.168.21.1
(定义dhcpserver组)
dhcp-securitystatic192.168.21.1000f-e231-72fb
dhcp-securitystatic192.168.21.110013-2015-b971
(定义设置静态地址的设备或计算机)
dhcpserverip-poolvlan21
network192.168.21.0mask255.255.255.0
gateway-list192.168.21.1
dns-list192.168.21.1
domain-name
expiredday5
(与cisco类似)
interfaceVlan-interface21
ipaddress192.168.21.1255.255.255.0
dhcp-server0
(使用上面定义的dhcpserver组)
address-checkenable
(与iparpinspection类似)
dhcpserverforbidden-ip192.168.21.0192.168.21.10
(定义不由dhcpserver分配的地址)
interfaceGigabitEthernet1/0/1
(下连端口)
portlink-typetrunk
porttrunkpermitvlanall
下级设备若支持dhcpsnooping可这样配置
interfaceGigabitEthernet1/1/1
(上连端口)
portlink-typetrunk
porttrunkpermitvlanall
dhcp-snoopingtrust
至此,所有工作完成,还有一点值得一提,如果要收集日志,最好设备ntp服务同步时间,无论在安全性,可管理性上都是有所帮助的.至于日志服务器及日志分析工具的配备可根据自己的喜好或需要自行选定.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CISCO DAI 技术