- 论坛徽章:
- 0
|
|
在cisco设备中的配置\r\n在cisco网络环境下,boot request在经过了启用DHCP SNOOPING特性的设备上时,会在DHCP数据包中插入option 82的选项(具体见RFC3046),这个时候,boot request中数据包中的gateway ip address:为全0,所以一旦dhcp relay 设备检测到这样的数据包,就会丢弃。\r\n虽然dhcp s nooping是用来防止非法的dhcp server接入的,但是它一个重要作用是一旦客户端获得一个合法的dhcp offer。\r\n启用dhcp snooping设备会在相应的接口下面记录所获得IP地址和客户端的mac地址。\r\n这个是后面另外一个技术ARP inspection检测的一个依据。ARP inspection是用来检测arp请求的,防止非法的ARP请求。\r\n认为是否合法的标准的是前面dhcp snooping时建立的那张表。因为那种表是dhcp server正常回应时建立起来的,\r\n里面包括是正确的arp信息。如果这个时候有arp攻击信息,利用ARP inspection技术就可以拦截到这个非法的arp数据包。\r\n其实利用这个方法,还可以防止用户任意修改IP地址,造成地址冲突的问题。\r\nip dhcp excluded-address 10.63.150.100 10.63.150.120 不由dhcp分配的地址\r\n!\r\nip dhcp pool main 定义地址池\r\n network 10.63.144.0 255.255.255.0 定义地址池做用的网段及地址范围\r\n default-router 10.63.144.1 定义客户端的默认网关\r\n domain-name nbyzzj.cn 定义客户端所在域\r\n netbios-node-type h-node\r\n //为客户机配置节点模式(影响名称解释的顺利,如h-node等于先通过wins服务器解释)\r\n dns-server 10.60.12.11 定义客户端的dns\r\n lease 7 定义地址租约时间为7天\r\nip dhcp snooping 打开dhcp snooping功能\r\nip dhcp snooping vlan 10-12,101-108,315 定义snooping作用的vlan\r\nip dhcp snooping database flash:dhcp-snooping.db 将绑定表保存在flash中,避免重启设备后,重新绑定\r\n\r\nip arp inspection vlan 10-12,101-108,315 定义arp inspection 作用的vlan,它是根据dhcp snooping binding表做判断的\r\nip arp inspection validate src-mac dst-mac ip 侦测有效客户端须满足src-mac dst-mac ip 均无错\r\nip arp inspection log-buffer entries 1024 inspection 日志大小\r\nip arp inspection log-buffer logs 1024 interval 300 inspection 日志刷新时间,interval太小会占用大量cpu时间\r\n!\r\n!\r\n!\r\nerrdisable recovery cause udld\r\nerrdisable recovery cause bpduguard\r\nerrdisable recovery cause security-violation\r\nerrdisable recovery cause channel-misconfig\r\nerrdisable recovery cause pagp-flap\r\nerrdisable recovery cause dtp-flap\r\nerrdisable recovery cause link-flap\r\nerrdisable recovery cause gbic-invalid\r\nerrdisable recovery cause l2ptguard\r\nerrdisable recovery cause psecure-violation\r\nerrdisable recovery cause dhcp-rate-limit\r\nerrdisable recovery cause unicast-flood\r\nerrdisable recovery cause vmps\r\nerrdisable recovery cause arp-inspection\r\nerrdisable recovery interval 30\r\n在开始应用Dynamic ARP Inspection时,交换机会记录大量的数据包,当端口通过的数据包过多时,\r\n交换机会认为遭受DoS攻击,从而将端口自动errdisable,造成通信中断。为了解决这个问题,\r\n我们需要加入命令errdisable recovery cause arp-inspection\r\nno file verify auto\r\nlogging on 当logging关闭时会占用大量cpu资源,一定勿忘打开\r\nno spanning-tree loopguard default 最好不要打开\r\nip source binding 0004.76f6.e3e9 vlan 315 10.63.150.100 interface Gi1/0/11 手动增加静态地址的条目\r\n!\r\ninterface GigabitEthernet1/0/11\r\nswitchport trunk encapsulation dot1q\r\nswitchport mode trunk\r\nip arp inspection limit none\r\narp timeout 2\r\nip dhcp snooping limit rate 100\r\n由于下连设备,为了避免inspection让端口errdisable,所以对arp的侦测不做限制,若直接为接入设备,\r\n可使用ip arp inspection limit rate 100\r\n相关命令:\r\nsh logging 查看Dymatic Arp Inspection (DAI) 是否生效.\r\nsh ip dhcp snooping binding 查看snooping是否生效\r\nsh ip dhcp binding 看dhcp server 是否生效.\r\nsh arp 看arp信息是否与 dhcp snooping binding表一致\r\n下级设备若支持dhcp snooping 可这样配置:\r\nip dhcp snooping\r\nint g0/1 上行端口\r\nswitchport trunk encapsulation dot1q\r\nswitchport mode trunk\r\nip dhcp snooping trust 定义此端口为信任端口,从此口来的dhcp server数据有效,可阻止其它dhcp server发送dhcp数据。\r\n经实验,对于已存在于绑定表中的mac和ip对于关系的主机,不管是dhcp获得,还是静态指定,\r\n只要符合这个表就可以了。如果表中没有就阻塞相应流量。\r\n如果使用了dhcp中继服务,那需要在网关交换机上键入如下命令:\r\n方法一:\r\n inter vlan10\r\n ip dhcp relay information trusted\r\n方法二:\r\n switch(config)# ip dhcp relay information trust-all |
|
免费注册
发表于 2009-10-16 09:08