switch 3560上做安全:
模型:R1 and R2 (dhcp client )-->SW 3560-->R3(dhcp server)所有设备在同一个VLAN.
R1 and R2上开 ip address dhcp
R3上做dhcp pool
- 此时R1、R2可以拿到ip address
- 当SW开启ip dhcp snooping和 ip address snooping vlan 20,拿不到地址,当然,在连接R3(DHCP Server这个接口已经敲 ip dhcp snooping trust)
- 有三种方式可以解决
- 在R3对应的SW接口上敲ip dhcp relay information trusted
- 在所有untrust的SW接口上敲 ip dhcp snooping information option allow-untrusted
- 或者在SW的全局下敲no ip dhcp snooping information option
- 当做IPSG=ip source guard的时候。R1先用dhcp获得地址,ping R2,看arp 表象,arp是全的。此时可以在SW上开启IPSG 的这个feature。可以有两种方式
- ip 过滤 命令为ip verify source
- ip+mac 过滤 命令为ip verify source port-security
- 最后还要在untrust接口上敲switch port-security
- 当做DAI的时候。dynamic arp inspection。 命令为ip arp inspection vlan 10。同上,测试方法为,修改R1的地址和MAC地址,然后ping R2,都会被干掉。
- 问题1:两种的表现方式都是一样的,那两种技术的区别本质在哪。DAI是过滤ARP的欺骗的。IPSG是做源检测的。也有可能测试的方法不对。原因是当R1先用dhcp获取地址,然后ping R2。此时arp表对的。然后修改R1的地址。此时R1的ARP的cache没有了。所以要发ARP request。此时被DAI技术干掉
- 那么什么方式的测试,DAI技术做不到,而IPSG可以做到呢???未知
- 两者的共同点:都可以使用DHCP snooping binding database来做动态处理,也可以手动写静态表象。IPSG不同于DAI的是,IPSG还有自己的表象,是ip source binding database
- 检查命令:show ip dhcp snooping binding ,show ip verify source , sh ip source binding dhcp-snooping 。