当前位置:首页 > 网络 > 锐捷交换机防ARP欺骗

锐捷交换机防ARP欺骗

网络3年前 (2018-01-29)

锐捷交换机防ARP欺骗

采用官方推荐的DHCP Snooping + IP Source guard + ARP-check方式


用户VLAN网关在核心交换机S8605E上面并创建DHCP Server,接入交换机S2928G-E和S2928G_P下联的PC使用动态DHCP获取IP地址,为了防止下联用户之间的ARP欺骗以及下联用户欺骗网关,使用DHCP Snooping + IP Source guard + ARP-check方案解决ARP欺骗问题。


在用户PC动态获取IP地址的过程中

1.通过接入层交换机的DHCP Snooping功能将用户DHCP获取到的,正确的IP与MAC信息记录到交换机的DHCP Snooping软件表

2.然后通过IP Source guard功能将DHCP Snooping表的每个终端的IP&MAC信息写入交换机的硬件表项,类似端口安全的绑定

3.最后使用ARP-check功能校验所有ARP报文的正确性。如果合法用户获取IP地址后试图进行ARP欺骗,或者是非法用户私自配置静态的IP地址,他们的ARP校验都将失败,这样的用户将无法使用网络


锐捷交换机防ARP欺骗


ip dhcp snooping   
开启DHCP snooping功能,监听DHCP地址,防止用户伪造DHCP服务器,避免用户获取错误的地址

ip dhcp snooping trust   
开启DHCP snooping的交换机所有接口缺省为untrust口,交换机只转发从trust口收到的DHCP响应报文

ip verify source port-security   
开启源IP+MAC的报文检测,将DHCP Snooping形成的snooping表写入地址绑定数据库中

arp-check   
开启对于接口收到的ARP报文会检测ARP报文字段与地址绑定库中的IP及MAC进行匹配,如果匹配将放行,否则丢弃


本站所有文章均可随意转载,转载时请保留原文链接及作者。

本文链接:https://www.vos.cn/net/190.html

相关文章

解决富士施乐DocuCentre-V C2263不同vlan不互通问题

解决富士施乐DocuCentre-V C2263不同vlan不互通问题

7楼客户端地址为172.19.71.10,20楼打印机地址为172.19.201.136,出现问题为客户端PING打印机不通,无法连接打印机。查看对照表,7楼用户VLAN为70120楼为VLAN200...

华为S5700单向访问

华为S5700单向访问

实验需求工作组A可以访问工作组B,但是工作组B无法访问工作组A地址规划核心SW1: vlan10网关为192.168.1.1/24  vlan20网关为192.168.2.1/24工作组A:...

AR2200和MSR2600 VRRP

AR2200和MSR2600 VRRP

HUAWEI AR2200和H3C MSR2600之间做VRRP,默认开启VRRP后,MSR2600 VRRP会收到大量VRRP协议版本报错信息,需要拔线后手工强制为版本2拓扑为华为G0/0...

华为super vlan

华为super vlan

超级vlan也就是vlan聚合(vlan aggregation)。是指在一个主vlan下包括多个处于同一个ip网段的从vlan,但只需要给主VLANif配置IP地址,每个从vlan使用主vlan的V...

锐捷RG-S2910升级版本

锐捷RG-S2910升级版本

官网下载S2910机架升级包后并解压,tftp可使用版本文件夹下锐捷自带工具,但是目录必须为英文路径使用中文文件夹升级工具和交换机均会提示Tftp failed, error number 71(Pr...

DELL NSA5600 One-to-One NAT

DELL NSA5600 One-to-One NAT

使用DELL NSA5600做One-to-One(1对1)NAT,发布内网服务器到公网拓扑为公网地址222.222.222.222 内网服务器为10.37.11.77点击右上角向导模式Pubic S...