思科交换机如何防范欺骗和攻击(7)

　　IOS 全局配置命令

　　ip dhcp snooping vlan 12,200

　　no ip dhcp snooping information option

　　ip dhcp snooping

　　接口配置命令：

　　ip verify source vlan dhcp-snooping

　　不使用 DHCP 的静态配置

　　IOS 全局配置命令：

　　ip dhcp snooping vlan 12,200

　　ip dhcp snooping information option

　　ip dhcp snooping

　　ip source binding 0009.6b88.d387 vlan 212 10.66.227.5 interface Gi4/5

　　5.1IP地址管理

　　综上所述通过配置思科交换机的上述特征，不仅解决了一些典型攻击和病毒的防范问题，也为传统 IP地址管理提供了新的思路。

　　通过上面的几项技术解决了传统的利用DHCP服务器管理客户端IP地址的问题：

　　?故意不使用手工指定静态 IP地址和DHCP分配地址冲突

　　?配置 DHCP server

　　?使用静态指定 IP遇到的问题

　　?不使用分配的 IP地址和服务器或其他地址冲突

　　?不容易定位 IP地址和具体交换机端口对应表

　　使用静态地址的重要服务器和计算机，可以进行静态绑定 IP+MAC、IP+MAC+PORT，手工配置DAI和 IP Source Guard绑定表项， 来保护这些设备，同时也防止来自这些设备的攻击。

　　目前对于网络病毒的不断爆发，越来越多的用户开始重视对 PC的管理，用户关注谁能访问网络、访问以后能做什么、做了哪些事情、这就是我们常说的AAA认证，除了这些用户希望能够很快定位到用户在哪台交换机、哪个端口、以哪个IP和MAC登陆，这样有有了”AAA+A”( Authenticate, Authorize,Account , Address )的概念。

　　通过上面的配置我们在网络层面已经可以定位用户了，加上 802.1X认证我们可以在网络层面根据用户的身份为用户授权，从而实现”AAA+A”。

　　更进一步要审计用户所使用电脑具备的条件，如系统补丁、所装杀毒软件及补丁、等条件可以考虑采用思科网络准入控制 NAC。

　　5.2使用DHCP Snooping 、DAI、IP Source Guard技术能解决的有关病毒问题

　　由于大多数对局域网危害较大的网络病毒都具有典型的欺骗和扫描，快速发包，大量 ARP 请求等特征，采用上述技术一定程度上可以自动切断病毒源，及时告警，准确定位病毒源。