国产成人v爽在线免播放观看,日韩欧美色,久久99国产精品久久99软件,亚洲综合色网站,国产欧美日韩中文久久,色99在线,亚洲伦理一区二区

學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 網(wǎng)絡(luò)知識(shí) > 網(wǎng)絡(luò)技術(shù) > cisco dai防arp攻擊

cisco dai防arp攻擊

時(shí)間: 權(quán)威724 分享

cisco dai防arp攻擊

  cisco思科是全球領(lǐng)先的大品牌,相信很多人也不陌生,那么你知道cisco dai防arp攻擊的方法嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于cisco dai防arp攻擊的相關(guān)資料,供你參考。

  cisco dai防arp攻擊的方法:

  配置局域網(wǎng)的安全特性,防止地址亂配,ARP攻擊等弊病!

  1、啟用DHCP SNOOPING

  全局命令:

  ip dhcp snooping vlan 10,20,30

  no ip dhcp snooping information option

  ip dhcp snooping database flash:dhcpsnooping.text //將snooping表保存到單獨(dú)文檔中,防止掉電后消失。

  ip dhcp snooping

  接口命令:

  ip dhcp snooping trust //將連接DHCP服務(wù)器的端口設(shè)置為T(mén)rust,其余unTrust(默認(rèn))

  2、啟用DAI,防止ARP欺騙和中間人攻擊!通過(guò)手工配置或者DHCP監(jiān)聽(tīng)snooping,交換機(jī)將能夠確定正確的端口。如果ARP應(yīng)答和snooping不匹配,那么它將被丟棄,并且記錄違規(guī)行為。違規(guī)端口將進(jìn)入err-disabled狀態(tài),攻擊者也就不能繼續(xù)對(duì)網(wǎng)絡(luò)進(jìn)行進(jìn)一步的破壞了!

  全局命令

  ip arp inspection vlan 30

  接口命令(交換機(jī)之間鏈路配置DAI信任端口,用戶端口則在默認(rèn)的非信任端口):

  ip arp inspection trust

  ip arp inspection limit rate 100

  3、啟用IPSG

  前提是啟用IP DHCP SNOOPING,能夠獲得有效的源端口信息。IPSG是一種類(lèi)似于uRPF(單播反向路徑檢測(cè))的二層接口特性,uRPF可以檢測(cè)第三層或路由接口。

  接口命令:

  switchport mode acc

  switchport port-security

  ip verify source vlan dhcp-snooping port-security

  4、關(guān)于幾個(gè)靜態(tài)IP的解決辦法

  可通過(guò)ip dhcp snooping binding 1.1.1 vlan 1 1.1.1.1 interface gi0/8

  通過(guò)arp access-list添加靜態(tài)主機(jī):

  arp access-list static-arp

  permit ip host 192.168.1.1 mac host 0000.0000.0003

  ip arp inspection filter static-arp vlan 30

  DHCP 中綁定固定IP:

  ip dhcp pool test

  host 192.168.1.18 255.255.255.0 (分給用戶的IP)

  client-identifier 0101.0bf5.395e.55(用戶端mac)

  client-name test

  開(kāi)展及總結(jié):

  思科交換機(jī)在全局配置模式下開(kāi)啟IP DHCP SNOOPING后,所有端口默認(rèn)處于DHCP SNOOPING UNTRUSTED模式下,但DHCP SNOOPING INFORMATION OPTION功能默認(rèn)是開(kāi)啟的,此時(shí)DHCP報(bào)文在到達(dá)一個(gè)SNOOPING UNTRUSTED端口時(shí)將被丟棄。因此,必須在4506配置IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED命令(默認(rèn)關(guān)閉),以允許4506從DHCP SNOOPING UNTRUSTED端口接收帶有OPTION 82的DHCP REQUEST報(bào)文。建議在交換機(jī)上關(guān)閉DHCP INFORMATION OPTION,即全局配置模式下NO IP DHCP SNOOPING INFORMATION OPTION。

  7、對(duì)于允許手工配置IP地址等參數(shù)的客戶端,可以手工添加綁定條目到DHCP SNOOPING BINDING數(shù)據(jù)庫(kù)中。ip dhcp snooping binding 00d0.2bd0.d80a vlan 100 222.25.77.100 interface gig1/1 expiry 600表示手工添加一條MAC地址為00d0.2bd0.d80a,IP地址為222.25.77.100,接入端口為GIG1/1,租期時(shí)間為600秒的綁定條目。

  8、IPSG即IP SOURCE GUARD是在DHCP SNOOPING功能的基礎(chǔ)上,形成IP SOURCE BINDING表,只作用在二層端口上。啟用IPSG的端口,會(huì)檢查接收到所有IP包,只轉(zhuǎn)發(fā)與此綁定表的條目相符合的IP包。默認(rèn)IPSG只以源IP地址為條件過(guò)濾IP包,如果加上以源MAC地址為條件過(guò)濾的話,必須開(kāi)啟DHCP SNOOPING INFORMAITON OPTION 82功能。

  9、DAI即DYNAMIC ARP INSPECTION也是以DHCP SNOOPING BINDING DATABASE為基礎(chǔ)的,也區(qū)分為信任和非信任端口,DAI只檢測(cè)非信任端口的ARP包,可以截取、記錄和丟棄與SNOOPING BINDING中IP地址到MAC地址映射關(guān)系條目不符的ARP包。如果不使用DHCP SNOOPING,則需要手工配置ARP ACL。

  看過(guò)文章“cisco dai防arp攻擊”的人還看了:

  1.cisco思科路由器設(shè)置

  2.思科路由器怎么進(jìn)入 思科路由器怎么設(shè)置

  3.思科路由器控制端口連接圖解

  4.思科路由器基本配置教程

  5.如何進(jìn)入cisco路由器

  6.cisco怎么進(jìn)端口

  7.cisco如何看未接來(lái)電

  8.cisco常用命令

  9.詳解思科route print

  10.思科路由器恢復(fù)出廠配置的方法有哪些

594867