一、IP地址盗用
IP地址的盗用方法多种多样,其常用方法主要有以下几种:
1、静态修改IP地址
对于任何一个TCP/IP实现来说,IP地址都是其用户配置的必选项。如果用户在配置TCP/IP或修改TCP/IP配置时,使用的不是授 权分配的IP地址,就形成了IP地址盗用。由于IP地址是一个逻辑地址,因此无法限制用户对于其主机IP地址的静态修改。
2、成对修改IP-MAC地址
对于静态修改IP地址的问题,现在很多单位都采用IP与MAC绑定技术加以解决。针对绑定技术,IP盗用技术又有了新的发展,即成对修改 IP-MAC地址。现在的一些兼容网卡,其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的 IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址,其同样可以接入网络。
另外,对于那些MAC地址不能直接修改的网卡来说,用户还可以采用软件的办法来修改MAC地址,即通过修改底层网络软件达到欺骗上层网络软件的目的。
3、动态修改IP地址
某些攻击程序在网络上收发数据包,可以绕过上层网络软件,动态修改自己的 IP地址(或IP-MAC地址对),以达到IP欺骗。
二、IP Source Guard技术介绍
IP源防护(IP Source Guard,简称IPSG)是一种基于IP/MAC的端口流量过滤技术,它可以防止局域网内的IP地址欺骗攻击。IPSG能够确保第2层网络中终端设备的 IP地址不会被劫持,而且还能确保非授权设备不能通过自己指定IP地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。
交换机内部有一个IP源绑定表(IP Source Binding Table)作为每个端口接受到的数据包的检测标准,只有在两种情况下,交换机会转发数据:
所接收到的IP包满足IP源绑定表中Port/IP/MAC的对应关系
所接收到的是DHCP数据包
其余数据包将被交换机做丢弃处理。
IP源绑定表可以由用户在交换机上静态添加,或者由交换机从DHCP监听绑定表(DHCP Snooping Binding Table)自动学习获得。 静态配置是一种简单而固定的方式,但灵活性很差,因此Cisco建议用户最好结合DHCP Snooping技术使用IP Source Guard,由DHCP监听绑定表生成IP源绑定表。
以DHCP Snooping技术为前提讲一下IP Source Guard技术的原理。 在这种环境下,连接在交换机上的所有PC都配置为动态获取IP地址,PC作为DHCP客户端通过广播发送DHCP请求,DHCP服务器将含有IP地址信息 的DHCP回复通过单播的方式发送给DHCP客户端,交换机从DHCP报文中提取关键信息(包括IP地址,MAC地址,vlan号,端口号,租期等),并 把这些信息保存到 DHCP 监听绑定表中。(以上这个过程是由DHCP Snooping完成的)
接下来的由IP Source Guard完成。交换机根据DHCP监听绑定表的内容自动生成IP源绑定表,然后IOS根据IP源绑定表里面的内容自动在接口加载基于端口的VLAN ACL(PVACL),由该ACL(可以称之为源IP地址过滤器)来过滤所有IP流量。客户端发送的IP数据包中,只有其源IP地址满足源IP绑定表才会 被发送,对于具有源IP绑定表之外的其他源IP地址的流量,都将被过滤。
PC没有发送DHCP请求时,其连接的交换机端口默认拒绝除了DHCP请求之外的所有数据包,因此PC使用静态IP是无法连接网络的(除非已经存在绑定好的源IP绑定条目,如静态源IP绑定条目或者是之前已经生成的动态IP绑定条目还没过期,而且PC还必须插在正确的端口并设置正确的静态IP地址)。
IP源防护只支持第2层端口,其中包括接入(access)端口和干道(trunk)接口。IP源防护的信任端口/非信任端口也就是DHCP监听的信任端口/非信任端口。对于非信任端口存在以下两种级别的IP流量安全过滤:
源IP地址过滤: 根据源IP地址对IP流量进行过滤,只有当源IP地址与IP源绑定条目匹配,IP流量才允许通过。当端口创建、 修改、 删除新的IP源绑定条目的时候,IP源地址过滤器将发生变化。为了能够反映IP源绑定的变更,端口PACL将被重新修改并重新应用到端口上。 默认情况下,如果端口在没有存在IP源绑定条目的情况下启用了IP源防护功能,默认的PACL将拒绝端口的所有流量(实际上是除 DHCP报文以外的所有IP流量)。
源IP和源MAC地址过滤:根据源IP地址和源MAC地址对IP 流量进行过滤,只有当源IP地址和源MAC地址都与IP源绑定条目匹配,IP流量才允许通过。当以IP和MAC地址作为过滤的时候,为了确保DHCP协议 能够正常的工作,还必须启用DHCP监听选项82。 对于没有选项82的数据,交换机不能确定用于转发DHCP服务器响应的客户端主机端口。相反地,DHCP服务器响应将被丢弃,客户机也不能获得IP地址。
注:交换机使用端口安全(Port Security)来过滤源MAC地址。
当交换机只使用“IP源地址过滤”时,IP源防护功能与端口安全功能是相互独立的关系。 端口安全是否开启对于IP源防护功能来说不是必须的。 如果同时开启,则两者也只是一种宽松的合作关系,IP源防护防止IP地址欺骗,端口安全防止MAC地址欺骗。而当交换机使用“源IP和源MAC地址过滤” 时,IP源防护功能与端口安全功能是就变成了一种“集成”关系,更确切的说是端口安全功能被集成到 IP源防护功能里,作为IP源防护的一个必须的组成部分。
在这种模式下,端口安全的违规处理(violation)功能将被关闭。对于非法的二层报文,都将只是被简单的丢弃,而不会再执行端口安全的违规处理了。 IP源防护功能不能防止客户端PC的ARP攻击。ARP攻击问题必须由DAI功能来解决。如果要支持IP源防护功能,必须是35系列及以上的交换机。 2960目前不支持该功能。
三、IP Source Guard的配置(IPSG配置前必须先配置ip dhcp snooping)
|
Switch(config-if)# ip verify source
Switch(config-if)#ip verify source vlan dhcp-snooping //接口级命令;在该接口下开启IP源防护功能
|
说明:
I、这两条语句的作用是一样的,不同的是:
ip verify source是35系列交换机的命令
ip verify source vlan dhcp-snooping是45/65系列交换机以及76系列路由器的命令
II、这两条命令后还有个参数port-security,即命令:
|
Switch (config-if)#ip verify source port-security
Switch (config-if)#ip verify source vlan dhcp-snooping port-security
|
不加port-security参数,表示IP源防护功能只执行“源IP地址过滤”模式
加上port-security参数以后,就表示IP源防护功能执行“源IP和源MAC地址过滤”模式
另外,在执行这两条命令之前需要先执行switchport port-security命令。
III、当执行“源IP和源MAC地址过滤”模式时,还可以通过以下命令限制非法MAC包的速度
|
Switch (config-if)#switchport port-security limit rate invalid-source-mac 50
//接口级命令;限制非法二层报文的速度为每秒50个;可以用参数none表示不限制
//只在“源IP和源MAC地址过滤”模式下有效,并且只有45系列及以上才支持该命令;
|
IV、 另外,在发生IP地址欺骗时,35/45系列交换机不会提供任何报错信息,只是丢弃数据报文;而65系列交换机会发出IP地址违背的报错信息。
添加一条静态IP源绑定条目:
|
Switch (config)#ip source binding 000f.1fc5.1008 vlan 10 192.168.10.131 interface fa0/2
//全局命令;对应关系为:vlan10 - 000f.1f05.1008 - 192.168.10.131 - fa0/2
|
四、显示IP Source Guard的状态
|
Switch#show ip source binding //显示当前的IP源绑定表
Switch#show ip verify source //显示当前的IP源地址过滤器的实际工作状态
|
五、IP Source Guard实例
1、单交换机环境(所有主机位于同一个VLAN)
环境:
DHCP服务器和PC客户端都位于vlan 10
DHCP服务器的MAC为000B.DB47.36EF,需要静态分配IP地址192.168.10.2,接在fa0/1
特殊应用服务器MAC为0016.D49F.4866,需要静态分配IP地址192.168.10.3,接在fa0/2
客户端PC的MAC为000F.1FC5.1008,通过DHCP动态获得地址,接在fa0/3
交换机为3560,Vlan 10的网关为192.168.10.1
当前相关配置如下:
|
ip dhcp snooping vlan 10
ip dhcp snooping
!
interface FastEthernet0/1
description : Connect to Win2003 DHCP Server
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip verify source
ip dhcp snooping trust
!
interface FastEthernet0/2
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip verify source
ip dhcp snooping limit rate 15
!
interface FastEthernet0/3
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip verify source
ip dhcp snooping limit rate 15
!
interface Vlan10
ip address 192.168.10.1 255.255.255.0
|
测试步骤:
1、初始状态:交换机当前已经配置好DHCP Snooping和端口的IP Source Guard(具体配置如上所示),但还没有添加DHCP服务器和特殊应用服务器的静态源IP绑定条目;并且DHCP服务器,特殊应用服务器和客户端PC都 还没有连接到交换机,即交换机端口处于down状态
显示工作状态:
Switch#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
Total number of bindings: 0
当前没有任何DHCP监听绑定条目
Switch#show ip source binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
Total number of bindings: 0
当前也没有任何IP源绑定条目
Switch#show ip verify source
Interface Filter-type Filter-mode IP-address Mac-address Vlan
--------- ----------- ----------- --------------- ----------------- ----------
Fa0/1 ip inactive-trust-port
Fa0/2 ip inactive-no-snooping-vlan
Fa0/3 ip inactive-no-snooping-vlan
|
由于当前这三个端口都是down的,所以IP源地址过滤器显示工作状态为非激活
注意当前“Filter-type”列里的“ip”说明当前是“源IP地址过滤”模式;
如果显示的是“ip-mac”则说明是“源IP和源MAC地址过滤”模式。
2、将DHCP服务器接上交换机的fa0/1口;特殊应用服务器接在fa0/2上;确定端口这两端口为up状态
Switch#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
Total number of bindings: 0
由于两台服务器都是静态指定IP地址,所以当前没有任何DHCP监听绑定条目
Switch#show ip source binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
Total number of bindings: 0
//IP源绑定表没有任何条目,因为两服务器的静态IP源绑定条目还未添加
Switch#show ip verify source
Interface Filter-type Filter-mode IP-address Mac-address Vlan
--------- ----------- ----------- --------------- ----------------- ----------
Fa0/1 ip inactive-trust-port
Fa0/2 ip active deny-all 10
Fa0/3 ip inactive-no-snooping-vlan
|
两台服务器接上以后,在IP源地址过滤器里结果却是不一样的
fa0/1还是为非激活状态,是由于该端口是DHCP监听的信任端口
fa0/2为激活状态,但却是拒绝所有IP流量(虽然这么显示,不过DHCP请求是可以通过的)
说明IP源绑定对于DHCP监听的信任端口和非信任端口的处理方式是不一样的。
此时在交换机上ping DHCP服务器的IP地址:
Switch#ping 192.168.10.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
可以ping通
|
再ping特殊应用服务器的IP地址:
Switch#ping 192.168.10.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.3, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
可以看到无法ping通
|
3、添加这两台服务器的静态IP源绑定条目
ip source binding 000B.DB47.36EF vlan 10 192.168.10.2 interface fa0/1
ip source binding 0016.D49F.4866 vlan 10 192.168.10.3 interface fa0/2
Switch#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
Total number of bindings: 0
//由于两台服务器都是静态指定IP地址,所以当前没有任何DHCP监听绑定条目
Switch#show ip source binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:0B:DB:47:36:EF 192.168.10.2 infinite static 10 FastEthernet0/1
00:16:D4:9F:48:66 192.168.10.3 infinite static 10 FastEthernet0/2
|
可以看到手工添加的两条静态条目已经存在了,其租约为infinite,类型为静态;另外,很明显该条目不是从DHCP监听绑定表中学习到的。
|
Switch#show ip verify source
Interface Filter-type Filter-mode IP-address Mac-address Vlan
--------- ----------- ----------- --------------- ----------------- ----------
Fa0/1 ip inactive-trust-port
Fa0/2 ip active 192.168.10.3 10
Fa0/3 ip inactive-no-snooping-vlan
|
此时 IP 源地址过滤器里的 fa0/1 没有任何变化,而 fa0/2 由于在 IP 源绑定表里有了该条目,现已允许192.168.10.3这个地址通过了
再次ping特殊应用服务器的IP地址
再次ping特殊应用服务器的IP地址
Switch#ping 192.168.10.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
现在可以ping通了
|
小结,以上结果说明:
IP源防护只针对非信任端口起作用,对信任端口不起作用。所以不需要为接在信任端口上的主机添加静态IP源绑定,其依然可以正常通信
IP源绑定能阻止非信任端口上的客户端以静态指定IP地址的方式接入网络。 这些客户端将无法通信,除非为其手工添加静态IP源绑定条目。
4、将PC客户端设置为动态获得IP地址,接在fa0/3,确定端口处于up状态
|
Switch#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:0F:1F:C5:10:08 192.168.10.4 691867 dhcp-snooping 10 FastEthernet0/3
Total number of bindings: 1
|
客户端PC通过DHCP方式获得了一个地址192.168.10.4;DHCP监听表里产生了该客户端的监听条目
|
Switch#show ip source binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:0B:DB:47:36:EF 192.168.10.2 infinite static 10 FastEthernet0/1
00:16:D4:9F:48:66 192.168.10.3 infinite static 10 FastEthernet0/2
00:0F:1F:C5:10:08 192.168.10.4 691550 dhcp-snooping 10 FastEthernet0/3
//此时IP源绑定表根据DHCP监听绑定表里的条目自动生成了相应的条目
Switch#show ip verify source
Interface Filter-type Filter-mode IP-address Mac-address Vlan
--------- ----------- ----------- --------------- ----------------- ----------
Fa0/1 ip inactive-trust-port
Fa0/2 ip active 192.168.10.3 10
Fa0/3 ip active 192.168.10.4 10
|
IP源地址过滤器根据IP源绑定表里的条目允许192.168.10.4这个IP地址的流量从fa0/3通过
说明:
如果PC客户端此时更换了交换机端口,由于客户端会再次发起DHCP请求,这将会引起交换机更新DHCP监听条目。DHCP监听条目的更新会导致IP源绑定条目的更新,所以IP源地址过滤器也将随着更新,以适应PC客户端的实际情况。
如果PC客户端不更换端口,但要改成静态IP地址,它只能改成与动态获得的IP地址一样的IP地址,这一举动是可行的。但客户端不再会发出DHCP请求来更新租约,因此随着DHCP监听条目超时后,还是会被阻止通信。
客户端不更换端口,但更改为与动态获得的IP地址不一样的静态IP地址,或者更改为同样的静态IP但接在了不一样的端口上,都将会立即被阻止通信。
最终配置:
|
ip dhcp snooping vlan 10
ip dhcp snooping
!
interface FastEthernet0/1
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping trust
!
interface FastEthernet0/2
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip verify source
ip dhcp snooping limit rate 15
!
interface FastEthernet0/3
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip verify source
ip dhcp snooping limit rate 15
!
interface Vlan10
ip address 192.168.10.1 255.255.255.0
!
ip source binding 0016.d49f.4866 vlan 10 192.168.10.3 interface fa0/2
|
2、单交换机环境(所有主机位于同一个VLAN)
环境:
PC1和PC2都位于vlan10;没有DHCP服务器
PC1的MAC为000F.1FC5.1008,配置静态IP地址192.168.10.1,接在fa0/1
PC2的MAC为0016.D49F.4866,配置静态IP地址192.168.10.2,接在fa0/2
|
interface FastEthernet0/1
description : Connect to PC1
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip verify source
!
interface FastEthernet0/2
description : Connect to PC2
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip verify source
!
ip source binding 000f.1fc5.1008 vlan 10 192.168.10.1 interface fa0/1
ip source binding 0016.d49f.4866 vlan 10 192.168.10.2 interface fa0/2
|
说明:本例是一个纯粹的静态环境,通过手工添加IP源绑定条目实现PC1和PC2互通。可以看出静态IP源绑定不需要交换机同时启用DHCP Snooping功能
3、单交换机环境(所有主机位于同一VLAN)
环境:
Cisco IOS DHCP服务器(2821路由器,IOS版本为12.4)和PC客户端都位于vlan 10
路由器接在交换机的fa0/1
客户端接在fa0/2
3560交换机相关配置:
|
ip dhcp snooping vlan 10
ip dhcp snooping
!
interface FastEthernet0/1
description : Connect to IOS DHCP Server C2821_Gi0/0
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping trust
!
interface FastEthernet0/2
description : Connect to PC
switchport access vlan 10
switchport mode access
switchport port-security
spanning-tree portfast
ip verify source port-security
ip dhcp snooping limit rate 15
|
2821路由器相关配置:
|
ip dhcp excluded-address 192.168.10.1 192.168.10.2
!
ip dhcp pool test
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
lease 8
!
interface GigabitEthernet0/0
description : Connect to C3560_Fa0/1
ip dhcp relay information trusted
ip address 192.168.10.2 255.255.255.0
|
说明:本例中采用“源IP和源MAC地址过滤”模式,采用该模式需要注意以下三点:
(1)交换机必须对客户端的DHCP请求插入选项82信息,即必须配置ip dhcp snooping information option命令(默认即为开启)。对于没有插入选项82的DHCP请求,交换机不能确定用于转发DHCP服务器响应的客户端主机端口。相反地,DHCP 服务器响应将被丢弃,客户机也不能获得IP地址。
实验过程:通过在3560上配置no ip dhcp snooping information option命令,不再对客户端的DHCP请求插入选项82。 通过在客户端(Windows XP)上执行ipconfig /release和ipconfig /renew重新发起DHCP请求过程。结果是客户端无法获得IP地址。参考交换机上的DHCP Snooping的debug过程可以得到如下信息:
|
00:20:02: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet0/1)
00:20:02: DHCP_SNOOPING: process new DHCP packet, message type: DHCPOFFER, input interface: Fa0/1, MAC da: ffff.ffff.ffff, MAC sa: 0009.b7da.f108, IP da: 255.255.255.255, IP sa: 192.168.10.2, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 192.168.10.3, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 000f.1fc5.1008
00:20:02: DHCP_SNOOPING_SW: client address lookup failed to locate client interface, retry lookup using packet mac DA: ffff.ffff.ffff
00:20:02: DHCP_SNOOPING_SW: lookup packet destination port failed to get mat entry for mac: 000f.1fc5.1008
00:20:02: DHCP_SNOOPING: can't find output interface for dhcp reply. the message is dropped.
|
由以上调试信息可以看出从路由器过来的DHCP回复包因为找不到目标端口而被交换机丢弃了。
(2)所使用的DHCP服务器必须支持利用DHCP选项82分配IP地址的功能,否则客户端将无法获得IP地址(debug信息类似第(1)项所述)。像 Win2003,Cisco IOS 12.2等作为DHCP服务器时都不支持利用DHCP选项82来分配IP地址。本例中如果采用12.2版本的IOS,将出现客户端无法获得IP地址的情 况。
Cisco IOS从版本12.3(4)T 开始支持利用选项82分配IP地址。 最简单的方法,看IOS是否支持命令ip dhcp use class。
可以尝试在交换机上开启 DHCP Snooping 的 debug 过程,查看收到的 DHCP Offer 消息中有没有DHCP选项82信息的调试数据。如:
|
00:10:41: DHCP_SNOOPING: received new DHCP packet from input interface (FastEthernet0/1)
00:10:41: DHCP_SNOOPING: process new DHCP packet, message type: DHCPOFFER, input interface: Fa0/1, MAC da: 000f.1fc5.1008, MAC sa: 0019.e765.d3b0, IP da: 192.168.10.3, IP sa: 192.168.10.2, DHCP ciaddr: 0.0.0.0, DHCP yiaddr: 192.168.10.3, DHCP siaddr: 0.0.0.0, DHCP giaddr: 0.0.0.0, DHCP chaddr: 000f.1fc5.1008
00:10:41: DHCP_SNOOPING: binary dump of option 82, length: 20 data:0x52 0x12 0x1 0x6 0x0 0x4 0x0 0xA 0x0 0x2 0x2 0x8 0x0 0x6 0x0 0x12 0xDA 0x88 0x88 0x0
00:10:41: DHCP_SNOOPING: binary dump of extracted circuit id, length: 8 data:0x1 0x6 0x0 0x4 0x0 0xA 0x0 0x2
00:10:41: DHCP_SNOOPING: binary dump of extracted remote id, length: 10 data:0x2 0x8 0x0 0x6 0x0 0x12 0xDA 0x88 0x88 0x0
00:10:41: DHCP_SNOOPING_SW: opt82 data indicates local packet
00:10:41: DHCP_SNOOPING: remove relay information option.
00:10:41: DHCP_SNOOPING: direct forward dhcp reply to output port: FastEthernet0/2.
|
(3)必须在端口下同时配置switchport port-security命令。 若没有该命令,本模式的最终效果与“源IP地址过滤”模式将相同。
实验过程:本例最初配置完成后,显示IP源地址过滤器的状态可以得到:
|
Switch#show ip verify source
Interface Filter-type Filter-mode IP-address Mac-address Vlan
--------- ----------- ----------- --------------- ----------------- ---------
Fa0/2 ip-mac active 192.168.10.3 00:0F:1F:C5:10:08 10
|
然后去掉3560的fa0/2的switchport port-security命令以后,通过释放IP地址并重新发起DHCP请求获得IP地址以后,再次显示IP源地址过滤器的状态可以得到:
|
Switch#show ip verify source
Interface Filter-type Filter-mode IP-address Mac-address Vlan
--------- ----------- ----------- --------------- ----------------- ---------
Fa0/2 ip-mac active 192.168.10.3 permit-all 10
|
此时的过滤表将允许任意MAC地址的数据包通过,只要其IP地址为192.168.10.3
4、多交换机环境(所有主机位于同一个VLAN)
环境:
3560本身作为DHCP服务器
客户端PC1和PC2都位于vlan 10
设备3560和2960通过Gi0/1互联
PC1的MAC为0009.B7DA.F108,接在2960的fa0/1
PC2的MAC为000F.1FC5.1008,接在2960的fa0/2
3560的相关配置如下:
|
ip dhcp excluded-address 192.168.10.1
!
ip dhcp pool test
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
lease 8
!
ip dhcp snooping vlan 10
ip dhcp snooping information option allow-untrusted
ip dhcp snooping
!
interface GigabitEthernet0/1
description : Connect to C2960_Gi0/1
switchport trunk encapsulation dot1q
switchport mode trunk
ip verify source
ip dhcp snooping limit rate 360
!
interface Vlan10
ip address 192.168.10.1 255.255.255.0
|
2960的相关配置如下:
|
ip dhcp snooping vlan 10
ip dhcp snooping
!
interface range FastEthernet0/1
description : Connect to PC1
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15
!
interface range FastEthernet0/2
description : Connect to PC2
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15
!
interface GigabitEthernet0/1
description : Connect to C3560_Gi0/1
switchport mode trunk
ip dhcp snooping trust
|
显示状态:
|
C3550#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:0F:1F:C5:10:08 192.168.10.4 689699 dhcp-snooping 10 GigabitEthernet0/1
00:09:B7:DA:F1:08 192.168.10.3 688445 dhcp-snooping 10 GigabitEthernet0/1
C3550#show ip source binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:0F:1F:C5:10:08 192.168.10.4 689660 dhcp-snooping 10 GigabitEthernet0/1
00:09:B7:DA:F1:08 192.168.10.3 688407 dhcp-snooping 10 GigabitEthernet0/1
C3550#show ip verify source
Interface Filter-type Filter-mode IP-address Mac-address Vlan
--------- ----------- ----------- --------------- ----------------- --------
Gi0/1 ip active 192.168.10.3 10
Gi0/1 ip active 192.168.10.4 10
|
说明:本例中将IP源防护应用于3560下联的trunk接口上,该接口为非信任接口。由于2960没有IP源防护功能,所以从2960过来的数据报文是 有可能存在IP欺骗攻击的。在3560的trunk口上应用IP源防护将可以把攻击隔绝在这里,使受攻击的范围减小到最小。但由于 2960本身没有该功能,所以接在2960上的各个主机之间仍有可能存在攻击行为。
5、多交换机环境(所有主机位于同一VLAN)
环境:
4503交换机自身作为DHCP服务器
PC1和PC2都位于vlan 10;
PC1接4503的gi2/1口
PC2接3560的fa0/1口
两交换机互连口是4503 gi1/1 – 3560 gi0/1
4503交换机相关配置:
|
ip dhcp excluded-address 192.168.10.1
!
ip dhcp pool test
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
lease 8
!
ip dhcp snooping vlan 10
ip dhcp snooping
!
interface GigabitEthernet2/1
description : Connect to PC1
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip verify source vlan dhcp-snooping
ip dhcp snooping limit rate 15
!
interface GigabitEthernet1/1
description : Connect to C3560_Gi0/1
switchport trunk encapsulation dot1q
switchport mode trunk
ip dhcp snooping trust
|
3560交换机相关配置:
ip dhcp snooping vlan 10
ip dhcp snooping
interface FastEthernet0/1
description : Connect to PC2
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip verify source
ip dhcp snooping limit rate 15
!
interface GigabitEthernet0/1
description : Connect to C4503_Gi1/1
switchport trunk encapsulation dot1q
switchport mode trunk
ip dhcp snooping trust
