下发访问控制规则的交换机上,利用Hybrid端口收发报文时的处理机制,来完成对同一网段的PC机之间的二层访问控制。 二五 各类型端口在接收和发送报文时的处理 1.端口接收报文时的处理: 端口接收到的报文类型 报文帧结构中携带VLAN报文帧结构中不携带标记 Access端口 丢弃该报文 VLAN标记 为该报文打上VLAN标记为本端口的PVID Trunk端口 判断本端口是否允许携同上 带该VLAN标记的报文通过。如果允许则报文携带原有VLAN标记进行转发,否则丢弃该报文 Hybrid端口 同上 同上 2.端口发送报文时的处理: Access端口 Trunk端口 剥掉报文所携带的VLAN标记,进行转发 首先判断报文所携带的VLAN标记是否和端口的PVID相等。如果相等,则剥掉报文所携带的VLAN标记,进行转发;否则报文将携带原有的VLAN标记进行转发 Hybrid端口 首先判断报文所携带的VLAN标记在本端口需要做怎样的处理。如果是untagged方式转发,则处理方式同Access端口; 如果是tagged方式转发,则处理方式同Trunk端口 交换机DHCP Sever的配置
二六 组网需求:
1.在交换机上配置DHCP Server,使下面的用户动态获取相应网段的IP地址;
16
2.DHCP Server的IP地址是192.168.0.1/24,PC机接在E1/0/2口上。 二七 组网图:
二八 配置步骤: 1.创建(进入)VLAN2 [Switch]vlan 2
2.将E1/0/1端口加入VLAN2 [Switch-vlan2]port Ethernet1/0/2 3.进入VLAN接口2 [Switch-vlan2]int vlan 2 4.为VLAN2配置IP地址
[Switch-Vlan-interface2]ip address 192.168.0.1 255.255.255.0 5.全局使能DHCP功能 [Switch]dhcp enable
6.创建DHCP地址池并进入DHCP地址池视图 [Switch]dhcp server ip-pool h3c 7.配置动态分配的IP地址范围
[Switch-dhcp-pool-h3c]network 192.168.0.1 mask 255.255.255.0 8.配置网关地址
[Switch-dhcp-pool-h3c] gateway-list 192.168.0.1 9.禁止将PC机的网关地址分配给用户 [Switch]dhcp server forbidden-ip 192.168.0.1 10.指定vlan2虚接口工作在全局地址池模式 [Switch]dhcp select global interface vlan-interface 2 二九 配置关键点:
1.需保证虚接口地址在地址池中,这样VLAN下接的PC机方能自动获得192.168.0.0/24网段的IP地址;
2.对于DHCP Server设备,可以使用全局地址池和接口地址池进行地址分配,这两种配置方法的适用情况是:如果DHCP Client和DHCP Server在同一网段,这两
17
种配置方法都适用,如果DHCP Client 与DHCP Server不在同一网段,那么只能用基于全局地址池的DHCP Server配置。当虚接口工作在全局地址池模式时使用以下命令:
[Switch]dhcp select global all
3.Vlan接口默认情况下以全局地址池方式进行地址分配,因此当vlan接口配置了全局地址池方式进行地址分配后,查看交换机当前配置时,在相应的vlan接口下无法看到有关DHCP的配置;
4.此系列交换机的具体型号包括:Quidway S3500、Quidway S3900-EI、Quidway S5600、H3C S3600-EI、H3C S5600系列交换机。
交换机DHCP Relay的配置
三〇 组网需求:
在交换机上配置DHCP Relay,使下面的用户动态获取相应网段的IP地址。 三一 组网图:
三二 配置步骤: 1.全局使能DHCP功能 [H3C]dhcp enable
2.指定DHCP Server组1所采用的DHCP Server的IP地址 [H3C]dhcp-server 1 ip 192.168.0.1
3.配置DHCP Relay到DHCP Server的接口地址 [H3C]vlan 2
[H3C-vlan2]port e1/0/2 [H3C]int vlan 2
[H3C-Vlan-interface2]ip address 192.168.0.2 255.255.255.0 4.配置DHCP Relay到PC的接口地址 [H3C]vlan 3
[H3C-vlan3]port e1/0/3 [H3C]int vlan 3
18
[H3C-Vlan-interface3]ip address 192.168.1.1 255.255.255.0 5.指定VLAN接口归属到DHCP Server组1 [H3C-Vlan-interface3]dhcp-server 1 三三 配置关键点: 1.必须保证路由可达;
2.保证动态获得的IP地址在地址池中;
3.此系列交换机的具体型号包括:Quidway S3500、Quidway S3900、Quidway S5600、H3C S3600和H3C S5600系列交换机。
防ARP攻击配置举例
关键词:ARP、DHCP Snooping
摘 要:本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能,防止校
园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。同时,详细描述了组网中各个设备的配置步骤和配置注意事项,指导用户进行实际配置。
缩略语:ARP(Address Resolution Protocol,地址解析协议)
MITM(Man-In-The-Middle,中间人攻击)
19
第1章 ARP攻击防御功能介绍
近来,许多校园网络都出现了ARP攻击现象。严重者甚至造成大面积网络不能正常访问外网,学校深受其害。H3C公司根据ARP攻击的特点,提出了“全面防御,模块定制”的ARP攻击防御理念,并给出了两种解决方案。 (1) DHCP监控模式下的ARP攻击防御解决方案
这种方式适合动态分配IP地址的网络场景,需要接入交换机支持DHCP Snooping功能。通过全网部署,可以有效的防御 “仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方式;且不需要终端用户安装额外的客户端软件,简化了网络配置。 (2) 认证方式下的ARP攻击防御解决方案
这种方式适合网络中动态分配IP地址和静态分配IP地址共存的网络场景,且只能防御“仿冒网关”的ARP攻击方式。它不需要在接入交换机上进行特殊的防攻击配置,只需要客户端通过认证协议(802.1x)登录网络,认证服务器(如CAMS服务器)会识别客户端,并下发网关的IP/MAC对应关系给客户端,来防御“仿冒网关”攻击。
1.1 ARP攻击简介
按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。 校园网中,常见的ARP攻击有如下几中形式。 (1) 仿冒网关
攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来,主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
1