详解DHCP协议多方面的注意事项

1. HENTICATED 
2. BendSM State = IDLE 
3. PortStatus = AUTHORIZED 
4. MaxReq = 2 
5. HostMode = Single 
6. Port Control = Auto 
7. QuietPeriod = 60 Seconds  
8. Re-authentication = Enabled 
9. ReAuthPeriod = 120 Seconds  
10. ServerTimeout = 30 Seconds  
11. SuppTimeout = 30 Seconds  
12. TxPeriod = 30 Seconds  
13. Guest-Vlan = 0debug dot1x {errors | events | packets | registry | state-machine | all} 

2、端口安全,解决CAM表溢出攻击(有种MACOF的工具,每分钟可以产生155000个MAC地址,去轰击CAM表,从而使合法主机的要求都必须被FLOOD)

示例配置:

1. Switch#configure terminal  
2. Switch(config)#interface fastethernet0/0  
3. Switch(config-if)#switchport mode access  
4. Switch(config-if)#switchport port-security  
5. Switch(config-if)#switchport port-security maximum 20 这里默认是1  
6. Switch(config-if)#switchport port-security mac-address sticky 

保存学习到的地址到RUN CONFIG文件中,避免手动配置的麻烦,并省去动态学习所消耗的资源

1. switchport port-security violation {protect | restrict | shutdown} 

三个参数解释:

保护:当达到某个设定的MAC数量,后来的未知MAC不再解析,直接丢弃,且不产生通知

限制:当达到某个设定的MAC数量,后来的未知MAC不再解析,直接丢弃,产生通知,如SNMP TRAP?SYSLOG信息,并增加违反记数;这里有个问题,恶意攻击会产生大量的类似信息,给网络带来不利.

关闭:当达到某个设定的MAC数量,后来的未知MAC不再解析,直接关闭该端口,除非手动开启,或改变端口安全策略

端口安全需要全部手动配置,增加工作量,下面的两种方式

DHCP SNOOP

如网吧的管理员使用DHCP分配地址的时候执行IP和MAC地址的捆绑

1. Switch#configure terminal  
2. Switch(config)#ip dhcp snooping  
3. Switch(config)#ip dhcp snooping vlan 34  
4. Switch(config)#ip dhcp snooping information option  
5. Switch(config)#interface fa0/0 连接DHCP服务器的接口  
6. Switch(config-if)#ip dhcp snooping limit rate 70  
7. Switch(config-if)#ip dhcp snooping trust  

指定该接口为信任接口,将获得DHCP服务器所分配的地址,其他接口所发生的DHCP行为将被否决DAI动态ARP审查,调用ACL和DHCP SNOOP的IP-TO-MAC数据库

1. Switch#configure terminal  
2. Switch(config)#ip arp inspection filter这里调用ACL  

注意,只能调用ARP ACL,该ACL优先与IP-TO-MAC表被审查,也就是说,即使有绑定项存在,如果被ARP-ACL拒绝,也不能通过

1. Switch(config)#ip arp inspection vlan 34  
2. Switch(config)#interface fa0/0  
3. Switch(config-if)#ip arp inspection trust  

连接到DHCP服务器的接口,调用该接口上的DHCP SNOOP的IP-TO-MAC表,默认连接到主机的接口都是不信任的接口

1. Switch(config-if)#ip arp inspection limit rate 20 burst interval 2 

不信任接口限制为每秒14个ARP请求,信任接口默认不受限制,这里修改为每秒20

1. Switch(config-if)#exit  
2. Switch(config)#ip arp inspection log-buffer entries 64 记录拒绝信息64条 

注意:DHCP SNOOP只提供IP-TO-MAC绑定表,本身不参与流量策略,只是防止DHCP欺骗,而对任何IP和MAC欺骗

是没有能力阻止的,但是它提供这样一张表给DAI调用,以防止MAC欺骗

1. ip arp-inspection 仅仅对违规的ARP包