如上图:
1、Mac-AA 设备为正常用户,连接在交换机非信任端口 1/1 上,其通过 DHCP Client获得 IP 1.1.1.5;
2、DHCP Server 和 GateWay 分别连接在交换机的信任端口 1/11 ; 1/12 上;恶意用户 Mac-BB 连接在非信任端口 1/10 上,试图伪装 DHCP Server(发送 DHCPACK)。
3 、在交换机上设置 DHCP snooping 将能有效发现并阻止这种网络攻击。
交换机配置为:
switch#
switch#config
switch(config)#ip dhcp snooping enable 开启dhcp侦听功能
switch(config)#interface ethernet 1/11
switch(Config-Ethernet1/11 )#ip dhcp snooping trust 设置信任端口
switch(Config-Ethernet1/11 )#exit
switch(config)#interface ethernet 1/12
switch(Config-Ethernet1/12)#ip dhcp snooping trust 设置信任端口
switch(Config-Ethernet1/12)#exit
switch(config)#interface ethernet 1/1 -10
switch(Config-Port-Range)#ip dhcp snooping action shutdown 其余端口收到dhcp服务时直接阻塞端口
switch(Config-Port-Range)#
关注*安徽思恒信息科技有限公司,了解更多技术内容……
