配置局域网的安全特性,防止地址乱配,ARP攻击等


1、启用DHCP SNOOPING 
全局命令:
ip dhcp snooping vlan 10,20,30
no ip dhcp snooping information option
ip dhcp snooping database flash:dhcpsnooping.text   //将snooping表保存到单独文档中,防止掉电后消失.
ip dhcp snooping
接口命令:
ip dhcp snooping trust //将连接DHCP服务器的端口设置为Trust,其余unTrust(默认)
2、启用DAI,防止ARP欺骗和中间人攻击

通过手工配置或者DHCP监听snooping,交换机将能够确定正确的端口.如果ARP应答和snooping不匹配,那么它将被丢弃,并且记录违规行为.违规端口将进入err-disabled状态,攻击者也就不能继续对网络进行进一步的破坏了!
全局命令
ip arp inspection vlan 30
接口命令(交换机之间链路配置DAI信任端口,用户端口则在默认的非信任端口):
ip arp inspection trust
ip arp inspection limit rate 100
3、启用IPSG 
前提是启用IP DHCP SNOOPING,能够获得有效的源端口信息.IPSG是一种类似于uRPF(单播反向路径检测)的二层接口特性,uRPF可以检测第三层或路由接口.
接口命令:
switchport mode acc
switchport port-security
ip verify source vlan dhcp-snooping port-security
4、关于几个静态IP的解决办法 
可通过ip dhcp snooping binding 1.1.1 vlan 1 1.1.1.1 interface gi0/8
通过arp access-list添加静态主机:
arp access-list static-arp
permit ip host 192.168.1.1 mac host 0000.0000.0003
ip arp inspection filter static-arp vlan 30
DHCP 中绑定固定IP:
ip dhcp pool test
host 192.168.1.18 255.255.255.0 (分给用户的IP)
client-identifier 0101.0bf5.395e.55(用户端mac)
client-name test
开展及总结:
思科交换机在全局配置模式下开启IP DHCP SNOOPING后,所有端口默认处于DHCP SNOOPING UNTRUSTED模式下,但DHCP SNOOPING INFORMATION OPTION功能默认是开启的,此时DHCP报文在到达一个SNOOPING UNTRUSTED端口时将被丢弃.,因此必须在4506配置IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED命令(默认关闭),以允许4506从DHCP SNOOPING UNTRUSTED端口接收带有OPTION 82的DHCP REQUEST报文.建议在交换机上关闭DHCP INFORMATION OPTION,即全局配置模式下NO IP DHCP SNOOPING INFORMATION OPTION.