dhcp,ip source guard,arp detection，acl

1.介绍　

　DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。

　　当交换机开启了 DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP
Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP
Server获取IP地址。

2.作用

　　1.dhcp-snooping的主要作用就是隔绝非法的dhcp server，通过配置非信任端口。

　　2.与交换机DAI的配合，防止ARP病毒的传播。

　　3.建立和维护一张dhcp-snooping的绑定表，这张表一是通过dhcp ack包中的ip和mac地址生成的，二是可以手工指定。这张表是后续DAI（dynamic arp inspect）和IP Source Guard 基础。这两种类似的技术，是通过这张表来判定ip或者mac地址是否合法，来限制用户连接到网络的。

IP Source Guard是一种基于IP/MAC的端口流量过滤技术，它可以防止局域网内的IP地址欺骗攻击。交换机内部有一个IP source binding table作为每个端口接受到的数据包的检测标准，只有在两种情况下，交换机会转发数据——或者所接收到的IP包满足IP source binding table中port/IP/MAC的对应关系，或者是接收到的是DHCP数据包，其余数据包将被交换机做丢弃处理。IP source binding table可以由用户在交换机上静态的配置，也可以由交换机从DHCP
Snooping自动学习获得。静态配置是一种简单而固定的方式，灵活性很差，因此Cisco建议用户最好结合DHCP Snooping使用IP Source Guard，由DHCP Snooping Binding Database生成IP source binding table。

以DHCP Snooping为前提讲一下IP Source Guard技术的原理。在这种环境下，连接在交换机上的所有PC都配置自动获取IP，PC作为DHCP Client通过广播发送DHCP Request，DHCP server将含有IP地址信息的DHCP Reply通过单播的方式发送给DHCP Client，交换机作为连接DHCP Server和DHCP Client的中介，从经过其的DHCP Request和DHCP Reply数据包中提取关键信息（包括IP Address，MAC Address,
Vlan ID, Port，Released Time等）并把这些信息保存到DHCP Snooping Binding Database中，并由此生成IP source binding table，IOS根据这个表里面的内容把ACL应用到各个对应的端口，由ACL来过滤所有IP流量。PC没有发送DHCP Request时，PC连接的交换机端口默认时拒绝除了DHCP之外的所有数据的，因此PC使用的静态IP是无法连接网络的。PC发送DHCP Request之后，交换机对PC连接的端口进行了IP/MAC/Port的绑定，仅仅只有指定的IP能够连接网络，PC将自己的IP伪装成其他主机的。如果DHCP
Server设定了MAC/IP的对应关系，那么每个PC的IP也就因此固定了，这是一种比较好的局域网IP地址解决方案。另外，由于IOS会对端口接收到的DHCP数据包进行处理，如果恶意的PC发送大量的DHCP包让交换机处理发动DOS攻击，会造成交换机的资源耗尽，考虑到这一点，IOS默认每个端口每秒钟最多能接收1500个DHCP数据包。

P Source Guard的配置步骤：

step 1

configure terminal

#进入配置模式

step 2

interface fa0/1

#进入接口配置模式

step 3

ip verfify source

#对接口启动IP地址过滤功能，或者

ip verify source port-security

#对接口启动IP/MAC地址过滤功能

step 4

exit

#退出

step 5

ip souce binding 01ab.23cd.45ef vlan 1 192.168.1.1 inteface fa0/1

#增加一条绑定内容（MAC Address，IP Address，Vlan Number和Port）

 

IP source guard是一种在2层的,非路由口上的基于DHCP snooping绑定数据库和手工配置

IP源绑定来限制IP流量的安全特性.可以使用IP source guard来阻止盗用邻居IP而导致的

流量攻击.

当DHCP snooping在一个非信任口启用的时候,就可以启用它上面的IP source guard了.

当IP source guard启用后,交换机将阻止非信任口上收到的除DHCP snooping允许的DHCP包

以外的所有IP流量.一条端口访问控制列表将应用到这个端口上.这条端口访问控制列表仅

允许在IP source绑定表中存在的源地址的IP流量,并阻止其他的流量.

IP source绑定表绑定了从DHCP snooping或者手工配置(静态IPsource绑定)学来的源地址.

表中的每一项都有一个IP地址,并和一个MAC地址和一个VLAN号相关联.交换机仅在

IP source guard启用的时候使用IP source绑定表.

IP source guard仅支持2层端口,包括acess和trunk口.可以配置IP source guard和源IP

地址过滤或者IP/MAC地址过滤共同工作.

当IP source guard启用并使用这个选项的时候, IP流量会基于源IP地址进行过滤.

当源IP地址为符合DCHP snooping绑定数据库或者IP source绑定表中的条目的IP流量,

交换机才会进行转发.

当在一个接口上添加,改变或者删除DHCP snooping绑定或者静态IP source绑定的时候,

交换机将修改端口访问控制列表以使用更改后的IP source绑定,并重新在接口上应用

这条端口访问控制列表.

如果在没有启动IP source 绑定(通过DHCP snooping动态学习或者手工配置)的接口上启用

IP source guard,交换机将在这个接口上创建并应用一个端口访问控制列表来阻止所有的

IP流量.如果禁用IP source guard,那么交换机则会把这个端口访问控制列表从接口上移除.

###源IP和MAC地址过滤--Source IP and MAC Address Filtering

当IP source guard启用并使用这个选项的时候, IP流量会基于源IP和MAC地址进行过滤.

当源IP和MAC地址为符合IP source绑定表中的条目的IP流量,交换机才会进行转发.

当带源IP和MAC地址的IP source guard启用时,交换机会过滤IP和非IP流量.如果一个IP

或者非IP数据包的源MAC地址符合一个有效的IP source绑定,那么交换机将转发这个数据包.

然后交换机将丢弃除DHCP包以外的其他所有类型的数据包.

交换机使用端口安全策略来过滤源MAC地址.如果一个接口上出现了不符合端口安全策略的

情况,那么这个接口就有可能被shutdown.

 

了解了IP source guard的用处,那么我们就可以在接入交换机上配置DHCP Snooping和

IP source guard. 这样就可以仅仅允许通过DHCP获得地址的机器可以通信.自己指定

IP地址的机器就无法通信了.

不过,这个特性是要在 Cisco Catalyst 3550 EMI /3560 EMI /3750 EMI 系列以上的交换机

才支持. 对于价格便宜的 Cisco Catalyst 2950 SI/EI 系列交换机只支持DHCP snooping

 

 

我的理解：

dhcp snooping 将从dhcp中获取的ip和mac放在一个池子里，ip source guard将流过的数据包进行检查，若源地址和mac在snooping形成的池子里则允许通过，否则丢弃。两个必须结合使用。

arp dection 和ip source guard 实现的功能一样，都是对流过的数据包进行ip,mac的检查。

 

配置ARP Detection功能

ARP Detection功能简介ARP Detection功能主要应用于接入设备上，对于合法用户的ARP报文进行正常转发，否则直接丢弃，从而防止仿冒用户、仿冒网关的攻击。

ARP Detection包含三个功能：用户合法性检查、ARP报文有效性检查、ARP报文强制转发。

1. 用户合法性检查对于ARP信任端口，不进行用户合法性检查；对于ARP非信任端口，需要进行用户合法性检查，以防止仿冒用户的攻击。
用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在端口上的合法用户，包括基于IP Source Guard静态绑定表项的检查、基于DHCP
Snooping安全表项的检查、基于802.1X安全表项的检查和OUI MAC地址的检查。

(1)
首先进行基于IP Source Guard静态绑定表项检查。如果找到了对应源IP地址和源MAC地址的静态绑定表项，认为该ARP报文合法，进行转发。如果找到了对应源IP地址的静态绑定表项但源MAC地址不符，认为该ARP报文非法，进行丢弃。如果没有找到对应源IP地址的静态绑定表项，继续进行DHCP
Snooping安全表项、802.1X安全表项和OUI MAC地址检查。

(2)
在基于IP Source Guard静态绑定表项检查之后进行基于DHCP Snooping安全表项、802.1X安全表项和OUI MAC地址检查，只要符合三者中任何一个，就认为该ARP报文合法，进行转发。其中，OUI
MAC地址检查指的是，只要ARP报文的源MAC地址为OUI MAC地址，并且使能了Voice VLAN功能，就认为是合法报文，检查通过。

(3)
如果所有检查都没有找到匹配的表项，则认为是非法报文，直接丢弃。



l
IP Source Guard静态绑定表项通过user-bind命令生成，详细介绍请参见“安全配置指导”中的“IP Source Guard”。
l
DHCP Snooping安全表项通过DHCP Snooping功能自动生成，详细介绍请参见“三层技术-IP业务配置指导”中的“DHCP”。
l
802.1X安全表项通过802.1X功能产生，802.1X用户需要使用可以将IP地址上传的客户端，用户通过了802.1X认证并且将IP地址上传至使能ARP
Detection的设备后，设备自动生成可用于ARP Detection的用户合法性检查的802.1X安全表项。802.1X的详细介绍请参见“安全配置指导”中的“802.1X”。
l
关于Voice VLAN和OUI MAC地址的详细介绍请参见“二层技术-以太网交换配置指导”中的“VLAN”。

2. ARP报文有效性检查对于ARP信任端口，不进行报文有效性检查；对于ARP非信任端口，需要根据配置对MAC地址和IP地址不合法的报文进行过滤。可以选择配置源MAC地址、目的MAC地址或IP地址检查模式。
l
对于源MAC地址的检查模式，会检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致，一致则认为有效，否则丢弃报文；
l
对于目的MAC地址的检查模式（只针对ARP应答报文），会检查ARP应答报文中的目的MAC地址是否为全0或者全1，是否和以太网报文头中的目的MAC地址一致。全0、全1、不一致的报文都是无效的，无效的报文需要被丢弃；
l
对于IP地址检查模式，会检查ARP报文中的源IP和目的IP地址，全0、全1、或者组播IP地址都是不合法的，需要丢弃。对于ARP应答报文，源IP和目的IP地址都进行检查；对于ARP请求报文，只检查源IP地址。

3. ARP报文强制转发对于从ARP信任端口接收到的ARP报文不受此功能影响，按照正常流程进行转发；对于从ARP非信任端口接收到的、已经通过用户合法性检查的ARP报文的处理过程如下：
l
对于ARP请求报文，通过信任端口进行转发；
l
对于ARP应答报文，首先按照报文中的以太网目的MAC地址进行转发，若在MAC地址表中没有查到目的MAC地址对应的表项，则将此ARP应答报文通过信任端口进行转发。

1.8.2 配置ARP Detection功能


如果既配置了报文有效性检查功能，又配置了用户合法性检查功能，那么先进行报文有效性检查，然后进行用户合法性检查。

 

ACL的配置

http://g.51cto.com/h3citoip/79250

华为 ip source guard的配置

http://bbs.51cto.com/thread-967019-1.html

华三 ip source guard的配置

http://wenku.baidu.com/view/69eccd1a6bd97f192279e9e2.html