科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道思科交换机如何防范欺骗和攻击(7)

思科交换机如何防范欺骗和攻击(7)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文所提到的攻击和欺骗行为主要针对链路层和网络层。在网络实际环境中,其来源可概括为两个途径:人为实施;病毒或蠕虫。

作者:51CTO.COM 2007年10月24日

关键字: 思科 交换机 CISCO 地址欺骗

  • 评论
  • 分享微博
  • 分享邮件
 检测接口上的 IP

  IOS 全局配置命令

  ip dhcp snooping vlan 12,200

  no ip dhcp snooping information option

  ip dhcp snooping

  接口配置命令:

  ip verify source vlan dhcp-snooping

  不使用 DHCP 的静态配置

  IOS 全局配置命令:

  ip dhcp snooping vlan 12,200

  ip dhcp snooping information option

  ip dhcp snooping

  ip source binding 0009.6b88.d387 vlan 212 10.66.227.5 interface Gi4/5

  5.1IP地址管理

  综上所述通过配置思科交换机的上述特征,不仅解决了一些典型攻击和病毒的防范问题,也为传统 IP地址管理提供了新的思路。

  通过上面的几项技术解决了传统的利用DHCP服务器管理客户端IP地址的问题:

  ?故意不使用手工指定静态 IP地址和DHCP分配地址冲突

  ?配置 DHCP server

  ?使用静态指定 IP遇到的问题

  ?不使用分配的 IP地址和服务器或其他地址冲突

  ?不容易定位 IP地址和具体交换机端口对应表

  使用静态地址的重要服务器和计算机,可以进行静态绑定 IP+MAC、IP+MAC+PORT,手工配置DAI和 IP Source Guard绑定表项, 来保护这些设备,同时也防止来自这些设备的攻击。

  目前对于网络病毒的不断爆发,越来越多的用户开始重视对 PC的管理,用户关注谁能访问网络、访问以后能做什么、做了哪些事情、这就是我们常说的AAA认证,除了这些用户希望能够很快定位到用户在哪台交换机、哪个端口、以哪个IP和MAC登陆,这样有有了”AAA+A”( Authenticate, Authorize,Account , Address )的概念。

  通过上面的配置我们在网络层面已经可以定位用户了,加上 802.1X认证我们可以在网络层面根据用户的身份为用户授权,从而实现”AAA+A”。

  

  

  更进一步要审计用户所使用电脑具备的条件,如系统补丁、所装杀毒软件及补丁、等条件可以考虑采用思科网络准入控制 NAC。

  5.2使用DHCP Snooping 、DAI、IP Source Guard技术能解决的有关病毒问题

  由于大多数对局域网危害较大的网络病毒都具有典型的欺骗和扫描,快速发包,大量 ARP 请求等特征,采用上述技术一定程度上可以自动切断病毒源,及时告警,准确定位病毒源。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章