目前本站已有 十几万 份求职资料啦!


Cisco环境下解决ARP欺骗的两种技术

10-15 21:47:25 来源:http://www.qz26.com 网络基础知识   阅读:8681
导读: 在开始应用Dynamic ARP Inspection时,交换机会记录大量的数据包,当端口通过的数据包过多时,交换机会认为遭受DoS攻击,从而将端口自动errdisable,造成通信中断。为了解决这个问题,我们需要加入命令errdisable recovery cause arp-inspection 在cisco网络环境下,boot request在经过了启用DHCP SNOOPING特性的设备上时,会在DHCP数据包中插入option 82的选项(具体见RFC3046)这个时候,boot request中数据包中的gateway ip address:为全0,所以一旦dhcp relay 设备检测到这样的数据包,就会丢弃。 如果dhcp服务器使用了中继服务,那需要在网关交换机上键入如下命令: 方法1: inter vlan7 ip dhcp relay information trusted 方法2: switch(config)# ip dhcp relay info
Cisco环境下解决ARP欺骗的两种技术,标签:网络基础,计算机网络基础知识,http://www.qz26.com

   在开始应用Dynamic ARP Inspection时,交换机会记录大量的数据包,当端口通过的数据包过多时,交换机会认为遭受DoS攻击,从而将端口自动errdisable,造成通信中断。为了解决这个问题,我们需要加入命令errdisable recovery cause arp-inspection

   在cisco网络环境下,boot request在经过了启用DHCP SNOOPING特性的设备上时,会在DHCP数据包中插入option 82的选项(具体见RFC3046)这个时候,boot request中数据包中的gateway ip address:为全0,所以一旦dhcp relay 设备检测到这样的数据包,就会丢弃。

   如果dhcp服务器使用了中继服务,那需要在网关交换机上键入如下命令:

   方法1:

   inter vlan7
   ip dhcp relay information trusted

   方法2:

   switch(config)# ip dhcp relay information trust-all

   三.总结

   虽然dhcp snooping是用来防止非法的dhcp server接入的,但是它一个重要作用是一旦客户端获得一个合法的dhcp offer。启用dhcp snooping设备会在相应的接口下面记录所获得IP地址和客户端的mac地址。这个是后面另外一个技术ARP inspection检测的一个依据。ARP inspection是用来检测arp请求的,防止非法的ARP请求。认为是否合法的标准的是前面dhcp snooping时建立的那张表。因为那种表是dhcp server正常回应时建立起来的,里面包括是正确的arp信息。如果这个时候有arp攻击信息,利用ARP inspection技术就可以拦截到这个非法的arp数据包。其实利用这个方法,还可以防止用户任意修改IP地址,造成地址冲突的问题。

上一页  [1] [2] 


Tag:网络基础知识网络基础,计算机网络基础知识电脑培训学习 - 网络知识 - 网络基础知识
【字号: 】 【打印】 【关闭
最新更新
推荐热门
联系我们 | 网站地图 | 财务资料 | 范文大全 | 求职简历 | 财会考试 | 成功励志
Copyright 二六求职资料网 All Right Reserved.
1 2 3 4 5 6 7 8 9 10