Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2153840
  • 博文数量: 227
  • 博客积分: 10521
  • 博客等级: 上将
  • 技术积分: 3452
  • 用 户 组: 普通用户
  • 注册时间: 2006-10-20 14:59
个人简介

低调做人,高调做事!

文章分类

全部博文(227)

文章存档

2013年(4)

2012年(8)

2011年(16)

2010年(24)

2009年(92)

2008年(83)

分类: 系统运维

2009-06-13 15:58:13

在前面一篇文章中我们提到,用ip,mac,端口来实现一种网络安全,后面经过测试后,发现存在一些问题,当这3要素绑定后,dhcp客户端无法获得ip地址,原因是因为绑定后,DHCP广播包无法通过,遗憾的是无法使用DHCP服务器了,这样对有300人的大型网络来说,不是很方便管理。

经过研究测试,发现dhcp-snooping技术对实现我们的需求有很大的帮助,具体需求:

1、在2层实现ip和mac地址绑定,尽量不要在3层上面实现。
2、手动更改dhcp服务器分配的ip地址后,无法通信。(dhcp服务器分配的时候已经将人和mac绑定)
3、一个端口只允许绑定的mac地址通信。


具体实现方法如下:

1、2层交换机上 s3100 上开启 dhcp-snooping。
2、在端口上开启ip地址过滤,只允许dhcp-snooping数据表的匹配项通过。
3、在端口上绑定mac地址,并关闭mac动态学习,只允许绑定的mac地址通信。


这样就实现了,既可以使用dhcp服务,又可以实现arp攻击,防止非法计算机接入端口,还减少了3层上的操作。
阅读(4074) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~