DHCP探測
僞造一個DHCP服務器進行DHCP應答
全局啓用dhcp探測
R1(config)#ip dhcp snooping
指定要實現探測的vlan
R1(config)#ip dhcp snooping vlan id
指定DHCP服務器連接的端口爲可信的
R1(config)#interface typemod/num
R1(config-if)#ip dhcp snooping trust
設定不可信端口限制DHCP請求速率
R1(config)#interface typemod/num
R1(config-if)#ip dhcp snooping limit rate rate
源IP地址防護
僞造一個IP源地址進行DDOS之類的***
不使用dhcp的主機,配置靜態源ip地址綁定
R1(config)#ip source bingding mac-addressvlan vlan-idip-address interface typemod/num
在一個或多個交換機端口啓用源IP地址防護
R1(config)#interface typemod/num
R1(config-if)#ip vertify source port-sercurity
動態ARP檢查
偵聽到ARP請求後發送ARP應答,應答中包括***者的MAC地址
在一個或多個客戶vlan上啓用DAI
R1(config)#ip arp inspection vlan vlan-range
指定與其他交換機相連的端口指定爲可信任的
R1(config)#interface typemod/num
R1(config-if)#ip arp inspection trust
靜態的配置了IP地址的話
R1(config)#arp access-list acl-name
R1(config-acl)#permit ip host sender-ip machost sender-mac[log]
R1(config-acl)#exit
將ARP訪問列表應用於DAI
R1(config)#ip arp inspection filter arp-acl-namevlan vlan-range[static]
啓用DAI驗證
R1(config)#ip arp inspection validate {[src-mac] [dst-mac] [ip]}
交換機接入安全
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.