在前面一篇文章中我们提到,用ip,mac,端口来实现一种网络安全,后面经过测试后,发现存在一些问题,当这3要素绑定后,dhcp客户端无法获得ip地址,原因是因为绑定后,DHCP广播包无法通过,遗憾的是无法使用DHCP服务器了,这样对有300人的大型网络来说,不是很方便管理。
经过研究测试,发现dhcp-snooping技术对实现我们的需求有很大的帮助,具体需求:
1、在2层实现ip和mac地址绑定,尽量不要在3层上面实现。
2、手动更改dhcp服务器分配的ip地址后,无法通信。(dhcp服务器分配的时候已经将人和mac绑定)
3、一个端口只允许绑定的mac地址通信。
具体实现方法如下:
1、2层交换机上 s3100 上开启 dhcp-snooping。
2、在端口上开启ip地址过滤,只允许dhcp-snooping数据表的匹配项通过。
3、在端口上绑定mac地址,并关闭mac动态学习,只允许绑定的mac地址通信。
这样就实现了,既可以使用dhcp服务,又可以实现arp攻击,防止非法计算机接入端口,还减少了3层上的操作。
阅读(4034) | 评论(0) | 转发(0) |
