- 1、本文档共45页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
交换机基础安全功能原理与应用
ARP协议简介 * ARP协议过程通过ARP Request和ARP Replay两个报文学习到IP对应的MAC地址 ARP request ARP reply PC1 PC2 IP: MAC:00d0.f800.0001 IP: MAC:00d0.f800.0002 PC3 PCN 欺骗原理 欺骗者伪造Send’s IP与Sender’s MAC 受骗主机用的Sender MAC与Sender IP更新自己的ARP表 ARP欺骗 * 网关 PC2 PC1 00d0.f800.0001 00d0.f800.0002 54 001a.a908.9f0b Cheat(ARP Request) ARP欺骗攻击目的 为什么产生ARP欺骗攻击? 表象:网络通讯中断 真实目的:截获网络通讯数据 * PC1 网关 主机型 网关型 欺骗者 ARP-check 概述 ARP检查功能,防止ARP欺骗的产生 原理 利用FFP中IP+MAC过滤表项,生成ARP过滤表项 过滤ARP字段 Sender’s IP Sender’s MAC * Dest MAC Source MAC TYPE IP Source IP Dest IP 原FFP逻辑示意 新增FFP逻辑示意 Dest MAC Source MAC TYPE ARP Sender’s IP Sender’s MAC ARP-check的应用场合 场合 Port-Security IP Source Guard 802.1x + 授权 其他能形成IP+MAC过滤表项的功能 * ARP-check配置 开启ARP-check功能 Ruijie(config-FastEthernet 0/1)#arp-check 查看ARP-check表项 Ruijie(config)#show int arp list * DAI * 概述 动态ARP监测,用于防止ARP欺骗的发生 原理 提取DHCP Snooping数据库中的IP+MAC表项 利用CPU过滤ARP报文发送者字段(Sender’s IP/MAC) 如果ARP报文的发送者字段不存在于数据库中则丢弃该ARP报文 端口角色 非信任口:拒绝不存在于DHCP Snooping数据库ARP报文 信任口:允许所有ARP报文通过 默认角色:非信任口 DAI配置 指定DAI监测VLAN Ruijie(config)#ip arp inspection vlan 1 设置DAI信任接口 Ruijie(config-FastEthernet 0/1)#ip arp inspection trust 查看DAI配置 Ruijie#show ip arp inspection vlan 1 * ARP-chek与DAI的区别 IP、MAC来源 ARP-check:FFP中IP/MAC过滤表项 DAI:DHCP Snooping数据库 处理方式 ARP-check:FFP硬件处理 DAI:CPU软件处理 * 各种防ARP欺骗方案比较 * 环境/方案 Port-Security + ARP-check DHCP Snooping + IP Source guard + ARP-check DHCP Snooping + DAI Supplicant授权 + ARP-check 静态IP √ 静态IP+SAM √ 动态IP √ √ 动态IP+SAM √ √ 注 接入交换机中开启ARP-check功能时,S2300系列交换机推荐每端口一个用户,其他系列交换机每端口不超过20个用户 各系列交换机支持情况一览 * 环境/方案 Port-Security + ARP-check DHCP Snooping + IP Source Guard +ARP-check DHCP Snooping + DAI Supplicant授权 + ARP-check S2300(接入) √ N/A √ √ S2600(接入) √ √ √ √ S2900(接入) √ √ √ √ S3250(接入) √ √ √ √ 总结 设备安全管理 密码 源地址限制 安全协议 接入安全 保护端口 全局地址绑定 端口安全 防攻击 DHCP Snooping IP Source Guard 防ARP:ARP-check DAI * 参考资料 《RG-S2600系列智能型增强安全接入交换机主打胶片.ppt》 《RG-S2600系列交换机RGOS 10.4(2)版本配置手册.pdf》 《RG-S2100系列交换机1.8(1A2)版本配置手册.pdf》 《FFP使用说明技术白皮书.doc》 * * THANKS! 培训目标: 8 *
文档评论(0)