DAI、DHCP SNOOPING、ip source guard、IPSG
2012-07-11 21:13
281 查看
switch 3560上做安全:
模型:R1 and R2 (dhcp client )-->SW 3560-->R3(dhcp server)所有设备在同一个VLAN.
R1 and R2上开 ip address dhcp
R3上做dhcp pool
此时R1、R2可以拿到ip address
当SW开启ip dhcp snooping和 ip address snooping vlan 20,拿不到地址,当然,在连接R3(DHCP Server这个接口已经敲 ip dhcp snooping trust)
有三种方式可以解决
在R3对应的SW接口上敲ip dhcp relay information trusted
在所有untrust的SW接口上敲 ip dhcp snooping information option allow-untrusted
或者在SW的全局下敲no ip dhcp snooping information option
当做IPSG=ip source guard的时候。R1先用dhcp获得地址,ping R2,看arp 表象,arp是全的。此时可以在SW上开启IPSG 的这个feature。可以有两种方式
ip 过滤 命令为ip verify source
ip+mac 过滤 命令为ip verify source port-security
最后还要在untrust接口上敲switch port-security
当做DAI的时候。dynamic arp inspection。 命令为ip arp inspection vlan 10。同上,测试方法为,修改R1的地址和MAC地址,然后ping R2,都会被干掉。
问题1:两种的表现方式都是一样的,那两种技术的区别本质在哪。DAI是过滤ARP的欺骗的。IPSG是做源检测的。也有可能测试的方法不对。原因是当R1先用dhcp获取地址,然后ping R2。此时arp表对的。然后修改R1的地址。此时R1的ARP的cache没有了。所以要发ARP request。此时被DAI技术干掉
那么什么方式的测试,DAI技术做不到,而IPSG可以做到呢???未知
两者的共同点:都可以使用DHCP snooping binding database来做动态处理,也可以手动写静态表象。IPSG不同于DAI的是,IPSG还有自己的表象,是ip source binding database
检查命令:show ip dhcp snooping binding ,show ip verify source , sh ip source binding dhcp-snooping 。
本文出自 “anysec” 博客,请务必保留此出处http://anysec.blog.51cto.com/690352/927421
模型:R1 and R2 (dhcp client )-->SW 3560-->R3(dhcp server)所有设备在同一个VLAN.
R1 and R2上开 ip address dhcp
R3上做dhcp pool
此时R1、R2可以拿到ip address
当SW开启ip dhcp snooping和 ip address snooping vlan 20,拿不到地址,当然,在连接R3(DHCP Server这个接口已经敲 ip dhcp snooping trust)
有三种方式可以解决
在R3对应的SW接口上敲ip dhcp relay information trusted
在所有untrust的SW接口上敲 ip dhcp snooping information option allow-untrusted
或者在SW的全局下敲no ip dhcp snooping information option
当做IPSG=ip source guard的时候。R1先用dhcp获得地址,ping R2,看arp 表象,arp是全的。此时可以在SW上开启IPSG 的这个feature。可以有两种方式
ip 过滤 命令为ip verify source
ip+mac 过滤 命令为ip verify source port-security
最后还要在untrust接口上敲switch port-security
当做DAI的时候。dynamic arp inspection。 命令为ip arp inspection vlan 10。同上,测试方法为,修改R1的地址和MAC地址,然后ping R2,都会被干掉。
问题1:两种的表现方式都是一样的,那两种技术的区别本质在哪。DAI是过滤ARP的欺骗的。IPSG是做源检测的。也有可能测试的方法不对。原因是当R1先用dhcp获取地址,然后ping R2。此时arp表对的。然后修改R1的地址。此时R1的ARP的cache没有了。所以要发ARP request。此时被DAI技术干掉
那么什么方式的测试,DAI技术做不到,而IPSG可以做到呢???未知
两者的共同点:都可以使用DHCP snooping binding database来做动态处理,也可以手动写静态表象。IPSG不同于DAI的是,IPSG还有自己的表象,是ip source binding database
检查命令:show ip dhcp snooping binding ,show ip verify source , sh ip source binding dhcp-snooping 。
本文出自 “anysec” 博客,请务必保留此出处http://anysec.blog.51cto.com/690352/927421
相关文章推荐
- 思科交换机配置IP DHCP SNOOPING、DAI、IPSG例子
- 在非可信端口上实施DHCP Snooping IP Source Guard
- IP Source Guard
- IPSource Guard实验
- DHCP-snooping&ip source guard
- IP Source Guard 配置
- DHCP Features and IP Source Guard
- 开启Cisco交换机IP Source Guard功能
- 解决启用DHCP snooping和DAI后,无法使用固定IP
- dhcp,ip source guard,arp detection,acl
- 思科交换机 DHCP SNOOPING、DAI、IPSG方案
- IP Source Guard
- IP-Guard数据库按天存储―V3.20版本说明
- ip dhcp snooping配置
- NetScaler的cookieinsert和sourceip联合保持机制
- 静态IP dhcp snooping的设置
- IP-guard 发布新版本V3.22.2420(只含普通模块)
- 交换机IP-MAC-PORT绑定和DHCP Snooping的应用 推荐
- 微信公众号返回错误{"errcode":40090,"errmsg":"invalid request source (bad client ip), hints: [ req_id: koZY704
- IP-Guard 客户端卸载