实战:cisco环境下解决arp欺骗问题
2008-09-04 13:20:31 来源:WEB开发网2.建立和维护一张dhcp-snooping的绑定表,这张表一是通过dhcp ack包中的ip和mac地址生成的,二是可以手工指定。这张表是后续DAI(dynamic arp inspect)和IP Source Guard 基础。这两种类似的技术,是通过这张表来判定ip或者mac地址是否合法,来限制用户连接到网络的。
配置:
switch(config)#ip dhcp snooping
switch(config)#ip dhcp snooping vlan 10
switch(config-if)#ip dhcp snooping limit rate 10
/*dhcp包的转发速率,超过就接口就shutdown,默认不限制
switch(config-if)#ip dhcp snooping trust
/*这样这个端口就变成了信任端口,信任端口可以正常接收并转发DHCP Offer报文,不记录ip和mac地址的绑定,默认是非信任端口
switch#ip dhcp snooping binding 0009.3452.3ea4 vlan 7 192.168.10.5 interface gi1/0/10
/*这样可以静态ip和mac一个绑定
switch(config)#ip dhcp snooping database tftp:// 10.1.1.1/dhcp_table
/*因为掉电后,这张绑定表就消失了,所以要选择一个保存的地方,ftp,tftp,flash皆可。本例中的dhcp_table是文件名,而不是文件夹,同时文件名要手工创建一个
2. ARP inspection
1.介绍
DAI是以dhcp-snooping的绑定表为基础来检查mac地址和ip地址的合法性。
2.配置
switch(config)#ip dhcp snooping vlan 7
switch(config)#ip dhcp snooping information option
/*默认
switch(config)#ip dhcp snooping
switch(config)#ip arp inspection vlan 7
/* 定义对哪些 VLAN 进行 ARP 报文检测
switch(config)#ip arp inspection validate src-mac dst-mac ip
- ››cisco配置和ios备份
- ››cisco路由器日志的保存与查看
- ››实战:企业使用交换机VLAN路由配置
- ››实战案例分析:高质量软文对网站百度排名的影响
- ››实战经验浅谈网站搬家后的优化工作
- ››实战Active Directory站点部署与管理,Active Dir...
- ››实战操作主机角色转移,Active Directory系列之十...
- ››实战经验:巧用微博推广淘宝网店
- ››实战iPhone GPS定位系统
- ››实战Linux环境配置DBD:Oracle模块
- ››实战DeviceIoControl系列之一:通过API访问设备驱...
- ››实战DeviceIoControl系列之二:获取软盘/硬盘/光盘...
中查找“实战:cisco环境下解决arp欺骗问题”更多相关内容
中查找“实战:cisco环境下解决arp欺骗问题”更多相关内容更多精彩
赞助商链接
