1拓?fù)?/strong>
1 實(shí)現(xiàn)控制只能獲取企業(yè)內(nèi)部合法的DHCP服務(wù)分配的地址,而其余的DHCP服務(wù)器則不能通過(guò)。
說(shuō)明:為什么需要該技術(shù)呢,因?yàn)镈HCP的工作原理是最先響應(yīng)的服務(wù)器,PC就獲取該服務(wù)器分配的IP地址,這樣的話有些惡意的人把網(wǎng)關(guān)指向自己的電腦,然后通過(guò)抓包工具等實(shí)現(xiàn)抓包分析等功能,這樣造成不安全,另外就是網(wǎng)段不一致了,導(dǎo)致訪問公司內(nèi)網(wǎng)或外網(wǎng)出現(xiàn)問題,所以我們必須杜絕該問題的出現(xiàn)。
正常情況下,內(nèi)網(wǎng)的用戶都是通過(guò)內(nèi)部部署的服務(wù)集集群正確獲取到IP地址,但是如果有一個(gè)人無(wú)意或者惡意的放了一臺(tái)設(shè)備在接入層,而該設(shè)備正好附帶DHCP功能【比如無(wú)線路由器等】,那么導(dǎo)致下面的用戶都會(huì)獲取到該服務(wù)器提供的地址段,而不是內(nèi)部規(guī)劃好的。
當(dāng)有惡意DHCP服務(wù)器出現(xiàn)的時(shí)候【查看】
可以看到這次獲得了172.16.1.0網(wǎng)段,這個(gè)就是通過(guò)惡意的DHCP服務(wù)器提供的。那么導(dǎo)致的結(jié)果就是
訪問都失敗。
2 解決辦法
(1)全局 DHCP Snooping功能
[boss]dhcp enable
[boss]dhcp snooping enable
(2)面向用戶的接口開啟DHCP Snooping功能
[boss]port-group 1
[boss-port-group-1]dhcp snooping enable
說(shuō)明:該接口組之前已經(jīng)定義過(guò)了,可以直接在里面調(diào)用即可。
(3)上聯(lián)接口【連接DHCP服務(wù)器接口】開啟Trust功能
[boss]port-group 2
[boss-port-group-2]dhcp snooping trusted
說(shuō)明:上聯(lián)接口之前定義在port-group2中,開啟即可,注意這里連接核心A與B接口都需要開啟。
(4)測(cè)試結(jié)果
可以看到Renew一下后,又正常獲取到了IP地址了。
說(shuō)明:DHCP Snooping的工作原理就是當(dāng)開啟DHCP Snooping功能后,接口處于Trust的狀態(tài)則接收對(duì)應(yīng)的DHCP ACK與Offer包,而其余接口默認(rèn)處于Untrust中,所以會(huì)丟棄這些包。
可以看到有動(dòng)態(tài)的表項(xiàng),后續(xù)的安全部署可以根據(jù)這表項(xiàng)來(lái)進(jìn)行安全控制
3 部署用戶只能通過(guò)DHCP獲取的情況下,能夠訪問內(nèi)網(wǎng)與外網(wǎng),而人為定義則不行。
說(shuō)明:有時(shí)候客戶會(huì)私自定義IP地址,但是客戶又不是非常懂,那么導(dǎo)致可能與網(wǎng)關(guān)或者其他PC的地址沖突了,所以我們這里必須杜絕該種情況出現(xiàn),必須通過(guò)DHCP獲取地址才能訪問內(nèi)網(wǎng)與外網(wǎng)。
手動(dòng)定義地址,進(jìn)行訪問。
可以看到可以正常訪問。
4 解決辦法
開啟DAI功能+ip source guead
(1)部署DAI
[boss]port-group 1
[boss-port-group-1]arp anti-attack check user-bind enable
說(shuō)明:默認(rèn)是檢查IP 、mac、VLAN信息,可以修改arp anti-attack check user-bind check-item ip-address mac-address vlan
可以看到當(dāng)自己定義IP地址后,會(huì)不訪問。
(2)部署ip source guead
說(shuō)明:為什么需要部署IP source guead呢,因?yàn)镈AI有一個(gè)因?yàn)榇嬖冢珼AI的功能是在PC第一次訪問的時(shí)候,需要放松ARP信息,而DAI就是檢測(cè)ARP信息的,如果本地沒有對(duì)應(yīng)DHCP Snooping表項(xiàng),就丟棄ARP報(bào)文。那么如果客戶知道了網(wǎng)關(guān)的MAC 地址,然后手工定義一個(gè)ARP【對(duì)于懂一點(diǎn)技術(shù)的人來(lái)說(shuō),也是非常簡(jiǎn)單的。】
比如手動(dòng)指定了一個(gè)靜態(tài)映射
可以看到就可以訪問了。
[boss]port-group 1
[boss-port-group-1]ip source check user-bind enable
說(shuō)明:開啟ip source功能,檢查,它會(huì)根據(jù)DHCP Snooping表項(xiàng)來(lái)檢查數(shù)據(jù)包的IP、MAC、VLAN是否與綁定表有,如果沒有就丟棄。
可以看到,就直接丟棄了。
(3)靜態(tài)綁定表項(xiàng)
說(shuō)明:為什么需要靜態(tài)綁定呢,因?yàn)橛袝r(shí)候有些打印機(jī)之類的是固定IP地址,所以必須允許它們通過(guò)。
[boss]user-bind static ip-address 192.168.44.1 mac-address 4422-1111-3423 vlan 40
添加一個(gè)靜態(tài)表項(xiàng),這樣就可以通過(guò)了。
可以看到?jīng)]問題了。
