交换机安全防范技术(上)

来源：第八军团作者：出处：巧巧读书 2006-06-11 进入讨论组

　　DHCP控制技术
　　DHCP Server可以自动为用户设置IP地址、掩码、网关、DNS、WINS等网络参数，解决客户机位置变化（如便携机或无线网络）和客户机数量超过可分配的IP地址的情况，简化用户设置，提高管理效率。

但在DHCP管理使用上，存在着DHCP Server冒充、DHCP Server的Dos攻击、用户随意指定IP地址造成网络地址冲突等问题。

　　1．三层交换机的DHCP Relay技术
　　早期的DHCP协议只适用于DHCP Client和Server处于同一个子网内的情况，不可以跨网段工作。因此，为实现动态主机配置，需要为每一个子网设置一个DHCP Server，这显然是不经济的。DHCP Relay的引入解决了这一难题：局域网内的DHCP Client可以通过DHCP Relay与其他子网的DHCP Server通信，最终取得合法的IP地址。这样，多个网络上的DHCP Client可以使用同一个DHCP Server，既节省了成本，又便于进行集中管理。DHCP Relay配置包括：

　　（1）配置IP 地址
　　为了提高可靠性，可以在一个网段设置主、备DHCP Server。主、备DHCP Server构成了一个DHCP Server组。可以通过下面的命令指定主、备DHCP Server的IP地址。
　　在系统视图下进行下列配置:
　　dhcp-server groupNo ip ipaddress1 [ ipaddress2 ]

　　（2）配置VLAN接口对应的组
　　在VLAN接口视图下进行下列配置：
　　dhcp-server groupNo

　　（3）使能/禁止VLAN 接口上的DHCP安全特性
　　使能VLAN接口上的DHCP安全特性将启动VLAN接口下用户地址合法性的检查，这样可以杜绝用户私自配置IP地址扰乱网络秩序，同DHCP Server配合，快速、准确定位病毒或干扰源。
　　在VLAN接口视图下进行下列配置：
　　address-check enable

　　（4）配置用户地址表项
　　为了使配置了DHCP Relay的VLAN内的合法固定IP地址用户能够通过DHCP安全特性的地址合法性检查，需要使用此命令为固定IP地址用户添加一条IP地址和MAC地址对应关系的静态地址表项。如果有另外一个非法用户配置了一个静态IP地址，该静态IP地址与合法用户的固定IP地址发生冲突，执行DHCP Relay功能的以太网交换机，可以识别出非法用户，并拒绝非法用户的IP与MAC地址的绑定请求。
　　在系统视图下进行下列配置：
　　dhcp-security static ip_address mac_address

　　2．其它地址管理技术
　　在二层交换机上，为了使用户能通过合法的DHCP服务器获取IP地址，DHCP-Snooping安全机制允许将端口设置为信任端口与不信任端口。其中信任端口连接DHCP服务器或其他交换机的端口；不信任端口连接用户或网络。不信任端口将接收到的DHCP服务器响应的DHCPACK和DHCPOFF报文丢弃；而信任端口将此DHCP报文正常转发，从而保证了用户获取正确的IP地址。

　　（1）开启/关闭交换机DHCP-Snooping 功能
　　缺省情况下，以太网交换机的DHCP-Snooping功能处于关闭状态。
　　在系统视图下进行下列配置，启用DHCP-Snooping功能：
　　dhcp-snooping

　　（2）配置端口为信任端口
　　缺省情况下，交换机的端口均为不信任端口。
　　在以太网端口视图下进行下列配置：
　　dhcp-snooping trust

　　(3)配置VLAN接口通过DHCP方式获取IP地址
　　在VLAN 接口视图下进行下列配置:
　　ip address dhcp-alloc

　　（4）访问管理配置——配置端口/IP地址/MAC地址的绑定
　　可以通过下面的命令将端口、IP地址和MAC地址绑定在一起，支持Port+IP、Port+MAC、Port+IP+MAC、IP+MAC绑定方式，防止私自移动机器设备或滥用MAC地址攻击、IP地址盗用攻击等，但这种方法工作量巨大。

巧巧读书:http://www.qqread.com/net-saft/h701124081.html