4.3IP/MAC欺骗的防范 IP Source Guard 技术配置在交换机上仅支持在 2 层端口上的配置,通过下面机制可以防范 IP/MAC 欺骗: • IP Source Guard 使用 DHCP sooping 绑定表信息。 • 配置在交换机端口上,并对该端口生效。 • 运作机制类似 DAI,但是 IP Source Guard不仅仅检查ARP报文,所有经过定义IP Source Guard检查的端口的报文都要检测。 • IP Source Guard检查 接口 所通过的流量的IP地址和MAC地址是否在DHCP sooping绑定表,如果不在绑定表中则阻塞这些流量。注意如果需要检查MAC需要DHCP服务器支持Option 82,同时使路由器支持Option 82信息。 通过在交换机上配置 IP Source Guard: • 可以过滤掉非法的 IP地址,包含用户故意修改的和病毒、攻击等造成的。 • 解决 IP地址冲突问题。 • 提供了动态的建立 IP+MAC+PORT的对应表和绑定关系,对于不使用DHCP的服务器和一些特殊情况机器可以采用利用全局命令静态手工添加对应关系到绑定表中。 • 配置 IP Source Guard的接口初始阻塞所有非DHCP流量。 • 不能防止“中间人攻击”。 对于 IP欺骗在路由器上也可以使用urpf技术。
4.4配置示例: 检测接口上的 IP+MAC IOS 全局配置命令: ip dhcp snooping vlan 12,200 ip dhcp snooping information option ip dhcp snooping 接口配置命令: ip verify source vlan dhcp-snooping port-security switchport mode access switchport port-security switchport port-security limit rate invalid-source-mac N /* 控制端口上所能学习源 MAC 的速率,仅当 IP+MAC 同时检测时有意义。 检测接口上的 IP IOS 全局配置命令 ip dhcp snooping vlan 12,200 no ip dhcp snooping information option ip dhcp snooping 接口配置命令: ip verify source vlan dhcp-snooping 不使用 DHCP 的静态配置 IOS 全局配置命令: ip dhcp snooping vlan 12,200 ip dhcp snooping information option ip dhcp snooping
精品推荐
