当前位置:首页 > 网络 > 锐捷交换机防ARP欺骗

锐捷交换机防ARP欺骗

网络5年前 (2018-01-29)

锐捷交换机防ARP欺骗

采用官方推荐的DHCP Snooping + IP Source guard + ARP-check方式


用户VLAN网关在核心交换机S8605E上面并创建DHCP Server,接入交换机S2928G-E和S2928G_P下联的PC使用动态DHCP获取IP地址,为了防止下联用户之间的ARP欺骗以及下联用户欺骗网关,使用DHCP Snooping + IP Source guard + ARP-check方案解决ARP欺骗问题。


在用户PC动态获取IP地址的过程中

1.通过接入层交换机的DHCP Snooping功能将用户DHCP获取到的,正确的IP与MAC信息记录到交换机的DHCP Snooping软件表

2.然后通过IP Source guard功能将DHCP Snooping表的每个终端的IP&MAC信息写入交换机的硬件表项,类似端口安全的绑定

3.最后使用ARP-check功能校验所有ARP报文的正确性。如果合法用户获取IP地址后试图进行ARP欺骗,或者是非法用户私自配置静态的IP地址,他们的ARP校验都将失败,这样的用户将无法使用网络


锐捷交换机防ARP欺骗


ip dhcp snooping   
开启DHCP snooping功能,监听DHCP地址,防止用户伪造DHCP服务器,避免用户获取错误的地址

ip dhcp snooping trust   
开启DHCP snooping的交换机所有接口缺省为untrust口,交换机只转发从trust口收到的DHCP响应报文

ip verify source port-security   
开启源IP+MAC的报文检测,将DHCP Snooping形成的snooping表写入地址绑定数据库中

arp-check   
开启对于接口收到的ARP报文会检测ARP报文字段与地址绑定库中的IP及MAC进行匹配,如果匹配将放行,否则丢弃


本站所有文章均可随意转载,转载时请保留原文链接及作者。

本文链接:https://www.vos.cn/net/190.html

相关文章

解除迪普负载均衡ADX3000-TA登陆锁定

解除迪普负载均衡ADX3000-TA登陆锁定

这破玩意儿web页面登陆输入错一次密码,就会出现admin用户被锁定的情况,查了文档默认锁定为1800秒,如果期间不登录设备,过30分钟自动解锁。console口无密码,可以命令直接解除锁定状态<...

锐捷无线控制器WS6108将AP组关联SSID

锐捷无线控制器WS6108将AP组关联SSID

将楼层AP关联到AP组后,AC首页点击“添加无线网络”在“wifi网络名称”中选择要关联的SSID后,点击“编辑”点击“下一步”在最下面的组中,点击“+添加”然后左侧选择一个需要关联的组wireles...

锐捷交换机配置guest登陆用户名和密码使用最低权限级别

锐捷交换机配置guest登陆用户名和密码使用最低权限级别

锐捷和思科一样,进入不同的权限等级时,如果权限等级越高,在设备中能进行的操作就越多。但是多数只使用两个权限等级: 权限等级1的用户exec模式,权限等级15的特权exec模式缺省配置下登录设备是用户...

配置IP Access List将无线网与有线网隔离

配置IP Access List将无线网与有线网隔离

锐捷核心交换访问控制列表标号如下S8605E(config)#access-list ?   <1-99>    &...

锐捷交换机启用http登陆

锐捷交换机启用http登陆

启动http服务 Ruijie(config)#enable service web-server      ...

RIPv2配置+认证

RIPv2配置+认证

R1配置interface Loopback0 ip address 1.1.1.1 255.255.255.0 interface Ethern...