交换机高级特性三
2009-03-28 11:58
218 查看
cisco的三种防范欺骗攻击特性:DHCP探测 源IP地址防护 动态ARP检查
DHCP探测:DHCP探测被启用时,交换机端口被分为可信和不可信的;合法的DHCP服务器位于可新端口,其他多属于不可信。
DHCP探测工作原理:拦截来自不可信端口的所有DHCP请求,然后向整个VLAN泛洪。任何来自不可信任端口的DHCP应答都将被丢弃,同时相应的交换机端口将自动关闭,进入ERRDISABLE状态。
配置命令:
switch(config)#ip dhcp snooping 启用DHCP探测
ip dhcp snooping vlan vlan-id 指定DHCP探测的VLAN 这里可以设置VLAN号范围
interface type mod/num
ip dhcp snooping trust 默认情况下,所有端口多是不可信任的,需要设置可信任端口
interface type mod/num
ip dhcp snooping limit rate rate 设置DHCP分组速率1-2048
查看 show ip dhcp snooping [binding]显示所有已监听到的DHCP帮定
源IP地址防护
源IP地址防护通过DHCP欺骗数据库以及静态源IP地址绑定项来完成这项工作
启用它后,交换机将获得使用DHCP的主机的MAC地址和IP地址。
确保交换型网络的安全
1 配置加密密码
2 使用系统棋标
3 禁用不必要或不安全的服务
4 确保交换机控制台的安全
5 确保虚拟终端接入的安全
6 尽可能使用SSH
7 确保SNMP访问的安全
8 确保未用交换机端口的安全
9 确保STP的安全
10 确保CDP的使用安全
DHCP探测:DHCP探测被启用时,交换机端口被分为可信和不可信的;合法的DHCP服务器位于可新端口,其他多属于不可信。
DHCP探测工作原理:拦截来自不可信端口的所有DHCP请求,然后向整个VLAN泛洪。任何来自不可信任端口的DHCP应答都将被丢弃,同时相应的交换机端口将自动关闭,进入ERRDISABLE状态。
配置命令:
switch(config)#ip dhcp snooping 启用DHCP探测
ip dhcp snooping vlan vlan-id 指定DHCP探测的VLAN 这里可以设置VLAN号范围
interface type mod/num
ip dhcp snooping trust 默认情况下,所有端口多是不可信任的,需要设置可信任端口
interface type mod/num
ip dhcp snooping limit rate rate 设置DHCP分组速率1-2048
查看 show ip dhcp snooping [binding]显示所有已监听到的DHCP帮定
源IP地址防护
源IP地址防护通过DHCP欺骗数据库以及静态源IP地址绑定项来完成这项工作
启用它后,交换机将获得使用DHCP的主机的MAC地址和IP地址。
确保交换型网络的安全
1 配置加密密码
2 使用系统棋标
3 禁用不必要或不安全的服务
4 确保交换机控制台的安全
5 确保虚拟终端接入的安全
6 尽可能使用SSH
7 确保SNMP访问的安全
8 确保未用交换机端口的安全
9 确保STP的安全
10 确保CDP的使用安全
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 交换机相关高级特性
- 交换机高级特性一
- 交换机高级特性二
- 使用高级特性增强网络稳定性探究
- Smarty Chapter 17. 高级特性 模板继承
- 第八章 C++函数的高级特性(8.3 参数的缺省值 8.4 运算符重载 8.5 函数内联)
- Hibernate高级特性
- .net核心高级特性之远程调用
- PHP高级特性讨论之邮件相关
- Redis基础、高级特性与性能调优
- 2016书单总结--深入理解Java虚拟机-JVM高级特性与最佳实践--自动内存管理
- 《深入java虚拟机--JVM高级特性与最佳实践》学习笔记(二) JAVA虚拟机运行时数据区
- erlang(十七)--Mnesia用户手册:五,Mnesia高级特性
- java语言高级特性(一)多线程创建、交互
- Redis持久化等高级特性
- Java学习备忘录(五)高级语言特性篇(原创)
- Cisco 交换机STP增强特性与环路保护机制
- React高级特性
- Python学习札记(十五) 高级特性1 切片
- C#温故而知新学习系列之.NET框架高级特性—如何在.NET框架中自定义属性类?(三)