cisco交換機IP/ＭＡＣ***防範

  3 IP/MAC欺騙的防範 
3.1常見的欺騙***的種類和目的
　　常見的欺騙種類有 MAC欺騙、IP欺騙、IP/MAC欺騙，其目的通常爲僞造身份或者獲取針對IP/MAC的特權。當目前較多的是***行爲：如Ping Of Death、syn flood、ICMP unreacheable Storm，另外病毒和***的***也具備典型性，下面是******的一個例子。
3.2***實例 
　　下圖***爲僞造源地址***，其目標地址爲公網上的 DNS服務器，直接目的是但願通使DNS服務器對僞造源地址的響應和等待，形成DDOS***，並以此擴大***效果。該***每秒鐘上萬個報文，中檔交換機2分鐘就癱瘓，照成的間接後果很是大。 

3.3IP/MAC欺騙的防範 
　　IP Source Guard 技術配置在交換機上僅支持在 2 層端口上的配置，經過下面機制能夠防範 IP/MAC 欺騙： 
IP Source Guard 使用 DHCP sooping 綁定表信息。

　　配置在交換機端口上，並對該端口生效。

　　 運做機制相似 DAI，可是 IP Source Guard不單單檢查ARP報文，全部通過定義IP Source Guard檢查的端口的報文都要檢測。 
IP Source Guard檢查 接口 所經過的流量的IP地址和MAC地址是否在DHCP sooping綁定表，若是不在綁定表中則阻塞這些流量。注意若是須要檢查MAC須要DHCP服務器支持Option 82，同時使路由器支持Option 82信息。 
經過在交換機上配置 IP Source Guard： 
能夠過濾掉非法的 IP地址，包含用戶故意修改的和病毒、***等形成的。
　　解決 IP地址衝突問題。
　　提供了動態的創建 IP＋MAC＋PORT的對應表和綁定關係，對於不使用DHCP的服務器和一些特殊狀況機器能夠採用利用全局命令靜態手工添加對應關係到綁定表中。
　　配置 IP Source Guard的接口初始阻塞全部非DHCP流量。
　 不能防止「中間人***」。

　　對於 IP欺騙在路由器上也能夠使用urpf技術。 
3.4配置示例： 
　　檢測接口上的IP+MAC 
　　IOS 全局配置命令：
　　ip dhcp snooping vlan 12,200 
　　ip dhcp snooping information option 
　　ip dhcp snooping 

　　接口配置命令：
　　ip verify source vlan dhcp-snooping port-security 
　　switchport mode access 
　　switchport port-security 
　　switchport port-security limit rate invalid-source-mac N 
　　/* 控制端口上所能學習源 MAC 的速率，僅當 IP+MAC 同時檢測時有意義。

　　檢測接口上的IP 
　　IOS 全局配置命令
　　ip dhcp snooping vlan 12,200 
　　no ip dhcp snooping information option 
　　ip dhcp snooping 

　　接口配置命令：
　　ip verify source vlan dhcp-snooping 

　　不使用 DHCP 的靜態配置
　　IOS 全局配置命令：
　　ip dhcp snooping vlan 12,200 
　　ip dhcp snooping information option 
　　ip dhcp snooping 
　　ip source binding 0009.6b88.d387 vlan 212 10.66.227.5 interface Gi4/5 
4 IP地址管理和病毒防範的新思路 
4.1IP地址管理 
綜上所述經過配置思科交換機的上述特徵，不只解決了一些典型***和病毒的防範問題，也爲傳統 IP地址管理提供了新的思路。 
經過上面的幾項技術解決了傳統的利用DHCP服務器管理客戶端IP地址的問題：
故意不使用手工指定靜態 IP地址和DHCP分配地址衝突 
配置 DHCP server 
使用靜態指定 IP遇到的問題 
不使用分配的 IP地址和服務器或其餘地址衝突 
不容易定位 IP地址和具體交換機端口對應表 

　　使用靜態地址的重要服務器和計算機，能夠進行靜態綁定 IP+MAC、IP+MAC+PORT，手工配置DAI和 IP Source Guard綁定表項， 來保護這些設備，同時也防止來自這些設備的***。

　　目前對於網絡病毒的不斷爆發，愈來愈多的用戶開始重視對 PC的管理，用戶關注誰能訪問網絡、訪問之後能作什麼、作了哪些事情、這就是咱們常說的AAA認證，除了這些用戶但願可以很快定位到用戶在哪臺交換機、哪一個端口、以哪一個IP和MAC登錄，這樣有有了」AAA+A」( Authenticate, Authorize,Account , Address )的概念。 

　　經過上面的配置咱們在網絡層面已經能夠定位用戶了，加上 802.1X認證咱們能夠在網絡層面根據用戶的身份爲用戶受權，從而實現」AAA+A」。 
[img]file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/arp9.files/dsfsa10.jpg[/img]

更進一步要審計用戶所使用電腦具有的條件，如系統補丁、所裝殺毒軟件及補丁、等條件能夠考慮採用思科網絡准入控制 NAC。 

4.2使用DHCP Snooping 、DAI、IP Source Guard技術能解決的有關病毒問題 
因爲大多數對局域網危害較大的網絡病毒都具備典型的欺騙和掃描，快速發包，大量 ARP 請求等特徵，採用上述技術必定程度上能夠自動切斷病毒源，及時告警，準肯定位病毒源