當前位置:
首頁 > 最新 > 華為 華三中小型企業網路架構搭建內網安全部署之DHCP 防止惡意DHCP與IP衝突等

華為 華三中小型企業網路架構搭建內網安全部署之DHCP 防止惡意DHCP與IP衝突等

1 1拓撲

1實現控制只能獲取企業內部合法的DHCP服務分配的地址,而其餘的DHCP伺服器則不能通過。

說明:為什麼需要該技術呢,因為DHCP的工作原理是最先響應的伺服器,PC就獲取該伺服器分配的IP地址,這樣的話有些惡意的人把網關指向自己的電腦,然後通過抓包工具等實現抓包分析等功能,這樣造成不安全,另外就是網段不一致了,導致訪問公司內網或外網出現問題,所以我們必須杜絕該問題的出現。

正常情況下,內網的用戶都是通過內部部署的服務集集群正確獲取到IP地址,但是如果有一個人無意或者惡意的放了一台設備在接入層,而該設備正好附帶DHCP功能【比如無線路由器等】,那麼導致下面的用戶都會獲取到該伺服器提供的地址段,而不是內部規劃好的。

當有惡意DHCP伺服器出現的時候【查看】

可以看到這次獲得了172.16.1.0網段,這個就是通過惡意的DHCP伺服器提供的。那麼導致的結果就是

訪問都失敗。

2解決辦法

(1)全局 DHCP Snooping功能

[boss]dhcp enable

[boss]dhcp snooping enable

(2)面向用戶的介面開啟DHCP Snooping功能

[boss]port-group 1

[boss-port-group-1]dhcp snooping enable

說明:該介面組之前已經定義過了,可以直接在裡面調用即可。

(3)上聯介面【連接DHCP伺服器介面】開啟Trust功能

[boss]port-group 2

[boss-port-group-2]dhcp snooping trusted

說明:上聯介面之前定義在port-group2中,開啟即可,注意這裡連接核心A與B介面都需要開啟。

(4)測試結果

可以看到Renew一下後,又正常獲取到了IP地址了。

說明:DHCP Snooping的工作原理就是當開啟DHCP Snooping功能後,介面處於Trust的狀態則接收對應的DHCP ACK與Offer包,而其餘介面默認處於Untrust中,所以會丟棄這些包。

可以看到有動態的表項,後續的安全部署可以根據這表項來進行安全控制

3部署用戶只能通過DHCP獲取的情況下,能夠訪問內網與外網,而人為定義則不行。

說明:有時候客戶會私自定義IP地址,但是客戶又不是非常懂,那麼導致可能與網關或者其他PC的地址衝突了,所以我們這裡必須杜絕該種情況出現,必須通過DHCP獲取地址才能訪問內網與外網。

手動定義地址,進行訪問。

可以看到可以正常訪問。

4解決辦法

開啟DAI功能+ip source guead

(1)部署DAI

[boss]port-group 1

[boss-port-group-1]arp anti-attack check user-bind enable

說明:默認是檢查IP 、MAC、VLAN信息,可以修改arp anti-attack check user-bind check-item ip-address mac-address vlan

可以看到當自己定義IP地址後,會不訪問。

(2)部署ip source guead

說明:為什麼需要部署IP source guead呢,因為DAI有一個因為存在,DAI的功能是在PC第一次訪問的時候,需要放鬆ARP信息,而DAI就是檢測ARP信息的,如果本地沒有對應DHCP Snooping表項,就丟棄ARP報文。那麼如果客戶知道了網關的MAC 地址,然後手工定義一個ARP【對於懂一點技術的人來說,也是非常簡單的。】

比如手動指定了一個靜態映射

可以看到就可以訪問了。

[boss]port-group 1

[boss-port-group-1]ip source check user-bind enable

說明:開啟ip source功能,檢查,它會根據DHCP Snooping表項來檢查數據包的IP、MAC、VLAN是否與綁定表有,如果沒有就丟棄。

可以看到,就直接丟棄了。

可以看到沒問題了。

說明

未完,下一篇繼續更新,如果大家在實際工作中有思科 華為 H3C的無線 路由器 交換機 防火牆需要遠程協助,技術支持的話,可以找我們幫忙哈,價錢公道,包您滿意,可長期合作。

實戰系列,每個星期一跟星期五更新,30篇左右,整理跟排版都需要時間,博主也只是業餘時間寫寫技術文檔,請大家見諒,大家覺得不錯的話,可以推薦給朋友哦,博主會努力推出更好的系列文檔的,謝謝大家支持!!

1推薦博客 (溫馨提示,建議複製粘貼到推薦瀏覽器打開,您懂得)

博客地址 http://ccieh3c.com

不懂如何下載參考地址 : http://ccieh3c.com/?p=46

2學習思路與資料全面打包(按學習順序排列好,總有您想要的)

學習地址:http://ccieh3c.com/?page_id=390 (不花錢,3個步驟即可直接下載)

3調試業務 (接網路設備調試業務,您有需求可以直接聯繫我們)

介紹地址 :http://ccieh3c.com/?page_id=296

其他推薦

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 網路之路博客 的精彩文章:

TAG:網路之路博客 |

您可能感興趣

小型企業網的三層架構(基於CISCO設備)
ARM發布全新架構CPU、GPU及AI內核
ARM發布全新架構CPU、GPU及AI內核,華為或將無緣
CODESYS課堂:CODESYS軟體架構
ARM發飆!發布全新CPU和GPU架構意欲挑戰PC權威!
中國移動攜手新華三在SDN/NFV解耦網路架構商用試點中獲得成功
小霸王遊戲電腦正式發布:搭載AMD定製ZEN架構CPU
ARM全新CPU和GPU架構正式發布,高通、華為或將採用
龍芯的好機會:MIPS CPU架構完全開源
PS5將使用AMD全新GPU、CPU 相應架構規格公布
NVIDIA深化與ARM的合作,為ARM架構帶來CUDA加速
解析ARM全新CPU與GPU架構:術業更專攻?
NVIDIA公布RTX系列顯卡:全新架構 光線追蹤與VR介面
基於BNA架構、e平台打造 全新秦EV實車局部圖曝光
AMD RDNA全新GPU架構探秘:三管齊下 迎接光追
LAMP架構部署和動態網站環境的配置
NVIDIA也看上了RISC-V架構:融入深度神經網路加速器
人工智慧新應用 LG將推出內建AI架構OLED電視
從零學習Spring MVC框架「環境搭建和MVC架構」
NVIDIA 7nm ARM晶元曝光:代號Orin、集成新架構GPU