使用DHCP监听、IPSG和DAI实现Cisco多层交换网络的安全

 

采用 DHCP server 可以自动为用户设置网络 IP 地址、掩码、网关、 DNS 、 WINS 等网络参数，简化了用户网络设置，提高了管理效率。但在 DHCP 管理使用上也存在着一些另网管人员比较问题，常见的有：

　　• DHCP server 的冒充。

　　• DHCP server 的 Dos 攻击。

　　• 有些用户随便指定地址，造成网络地址冲突。

　　由于 DHCP 的运作机制，通常服务器和客户端没有认证机制，如果网络上存在多台 DHCP 服务器将会给网络照成混乱。由于用户不小心配置了 DHCP 服务器引起的网络混乱非常常见，足可见故意人为破坏的简单性。通常黑客攻击是首先将正常的 DHCP 服务器所能分配的 IP 地址耗尽，然后冒充合法的 DHCP 服务器。最为隐蔽和危险的方法是黑客利用冒充的 DHCP 服务器，为用户分配一个经过修改的 DNS server ，在用户毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务网站，骗取用户帐户和密码，这种攻击是非常恶劣的。

　　对于 DHCP server 冒充和Dos 攻击可以利用DHCP snooping、IPSG、DAI 技术有效防止。

 

 

任务一 : 启用 DHCP 监听

步骤 1: 在交换 A 和 B 上启用 VLAN10 的 DHCP 监听。因为 cisco ios DHCP 服务器不支持选项 82 ，所以交换机 A 和 B 将禁用选项 82 的标记 :// 82 的标记 ---- 中继代理选项 .

     SwitchA#configure terminal

     SwitchA(config)#ip dhcp snooping

     SwitchA(config)#ip dhcp snooping vlan 10

     SwitchA(config)#no ip dhcp snooping information

    

     SwitchB#configure terminal

     SwitchB(config)#ip dhcp snooping

     SwitchB(config)#ip dhcp snooping vlan 10

     SwitchB(config)#no ip dhcp snooping information

 

步骤 2: 在交换机 A 中，将与 DHCP 服务器相连接的接口配置为 DHCP 信任 , 在交换 B 中，将连接 PC A 和 PC B 的接口配置为 DHCP 非信任。此外，上行链路接口需要配置为 DHCP 监听信任 .

SwitchA(config)#interface g 3/18

SwitchA(config-if)#ip dhcp snooping trust

SwitchA(config)#interface g3/18

SwitchA(config-if)#ip dhcp snooping trust

 SwitchB(config)#interface f3/7

SwitchB(config-if)#no ip dhcp snooping trust

 SwitchB(config)#interface f3/17

SwitchB(config-if)#no ip dhcp snooping trust

SwitchB(config)#interface g1/1

SwitchB(config-if)#ip dhcp snooping trust

步骤 3: 在与 PC A 和 PC B 相连接的终端用户上配置 IP 源防护，以次实现验证 IP 地址的目的 :

 SwitchB(config-if)#interface fa 3/7

 SwitchB(config-if)#ip verity source vlan dhcp-snooping

 SwitchB(config-if)#interface fa 3/17

 SwitchB(config-if)#ip verity source vlan dhcp-snooping

步骤 4: 配置 DHCP 服务器的静态 IP 源绑定，其在交换机 A 上的 IP 地址是 10.10.1.101

SwitchA(config)#ip source binding 000a.4172.df7f vlan 10 10.10.1.101

步骤 5: 在交换机上 A 和 B 中配置 VLAN10 的 DAI

SwitchA(config)#ip arp inspection vlan 10

SwitchB(config)#ip arp inspection vlan 10

步骤 6: 在交换机 A 和 B 中配置上行链路为 DAI 信任接口

SwitchA(config)#interface g 1/1

SwitchA(config-if)#ip arp inspection trust

 

SwitchB(config)#interface g 1/1

SwitchB(config-if)#ip arp inspection trust

 

任务二 : 验证 DHCP 监听 ,IPSG 和 DAI 状态

步骤 1 ：在交换机 A 和交换 B 中验证 DHCP 监听状态和绑定表 .

SwitchA#show ip dhcp snooping

 

步骤 2 ：在交换机 A 和交换 B 中验证 ip 源防护绑定和状态 :

SwitchA#show ip source binding

 

步骤 3 ：在交换机 A 和交换 B 中验证 DAI 状态和统计信息 :

SwitchA#show ip arp inspection