22、华为 华三中小型企业网络架构搭建 【内网安全部署之DHCP Snooping+DAI+IPSG 防止恶意DHCP与IP冲突等】 | 网络之路博客(公众号同名)(其他平台网络之路Blog)
登录
  • 欢迎网络之路博客网站,分享有用的知识点,公众号:网络之路博客,B站:网络之路Blog
  • 如果您觉得本站对您有帮助,那么赶紧使用Ctrl+D 收藏吧,支持我们下
  • 远程技术支持的淘宝店铺已经开张了哦,传送门:需要的朋友可以点击查看

22、华为 华三中小型企业网络架构搭建 【内网安全部署之DHCP Snooping+DAI+IPSG 防止恶意DHCP与IP冲突等】

实战系列说明

实战

实战系列,每个星期一发送一到两篇,预计18篇左右,整理跟排版都需要时间,博主也只是业余时间写写技术文档,请大家见谅,大家觉得不错的话,可以推荐给朋友哦,博主会努力推出更好的系列文档的,点击上面可以查看汇总文档。如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路博客,http://ccieh3c.com

拓扑

实战

拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)

实现控制只能获取企业内部合法的DHCP服务分配的地址,而其余的DHCP服务器则不能通过。

说明:为什么需要该技术呢,因为DHCP的工作原理是最先响应的服务器,PC就获取该服务器分配的IP地址,这样的话有些恶意的人把网关指向自己的电脑,然后通过抓包工具等实现抓包分析等功能,这样造成不安全,另外就是网段不一致了,导致访问公司内网或外网出现问题,所以我们必须杜绝该问题的出现。

 image001.png

正常情况下,内网的用户都是通过内部部署的服务集集群正确获取到IP地址,但是如果有一个人无意或者恶意的放了一台设备在接入层,而该设备正好附带DHCP功能【比如无线路由器等】,那么导致下面的用户都会获取到该服务器提供的地址段,而不是内部规划好的。
当有恶意DHCP服务器出现的时候【查看】

 image002.jpg

 image003.png

可以看到这次获得了172.16.1.0网段,这个就是通过恶意的DHCP服务器提供的。那么导致的结果就是

 image004.png

访问都失败。

解决办法

(1)全局 DHCP Snooping功能
[boss]dhcp enable
[boss]dhcp snooping enable

(2)面向用户的接口开启DHCP Snooping功能
[boss]port-group 1
[boss-port-group-1]dhcp snooping enable
说明:该接口组之前已经定义过了,可以直接在里面调用即可。

(3)上联接口【连接DHCP服务器接口】开启Trust功能
[boss]port-group 2
[boss-port-group-2]dhcp snooping trusted
说明:上联接口之前定义在port-group2中,开启即可,注意这里连接核心A与B接口都需要开启。
(4)测试结果

 image005.png

可以看到Renew一下后,又正常获取到了IP地址了。

说明:DHCP Snooping的工作原理就是当开启DHCP Snooping功能后,接口处于Trust的状态则接收对应的DHCP ACK与Offer包,而其余接口默认处于Untrust中,所以会丢弃这些包。

 image006.png

可以看到有动态的表项,后续的安全部署可以根据这表项来进行安全控制。

部署用户只能通过DHCP获取的情况下,能够访问内网与外网,而人为定义则不行。

说明:有时候客户会私自定义IP地址,但是客户又不是非常懂,那么导致可能与网关或者其他PC的地址冲突了,所以我们这里必须杜绝该种情况出现,必须通过DHCP获取地址才能访问内网与外网。

 image007.png

手动定义地址,进行访问。

 image008.png

可以看到可以正常访问。

解决办法

开启DAI功能+ip source guead
(1)部署DAI
[boss]port-group 1
[boss-port-group-1]arp anti-attack check user-bind enable
说明:默认是检查IP 、MAC、VLAN信息,可以修改arp anti-attack check user-bind check-item ip-address mac-address vlan

可以看到当自己定义IP地址后,会不访问。

 image009.png

(2)部署ip source guead
说明:为什么需要部署IP source guead呢,因为DAI有一个因为存在,DAI的功能是在PC第一次访问的时候,需要放松ARP信息,而DAI就是检测ARP信息的,如果本地没有对应DHCP Snooping表项,就丢弃ARP报文。那么如果客户知道了网关的MAC 地址,然后手工定义一个ARP【对于懂一点技术的人来说,也是非常简单的。】

 image010.png

比如手动指定了一个静态映射

 image011.png

可以看到就可以访问了。

[boss]port-group 1
[boss-port-group-1]ip source check user-bind enable
说明:开启ip source功能,检查,它会根据DHCP Snooping表项来检查数据包的IP、MAC、VLAN是否与绑定表有,如果没有就丢弃。

 image012.png

可以看到,就直接丢弃了。

(3)静态绑定表项
说明:为什么需要静态绑定呢,因为有时候有些打印机之类的是固定IP地址,所以必须允许它们通过。
[boss]user-bind static ip-address 192.168.44.1 mac-address 4422-1111-3423 vlan 40
添加一个静态表项,这样就可以通过了。

 image013.png

可以看到没问题了。

关于博客资源下载说明

首先,感谢大家对网络之路博客的支持,本站所有资源都是开放下载,不做任何限制,资源都是上传在百度盘,分为两种类型:
(1)第一种是书籍PDF与视频类,全部放在博客分享,觉得对大家学习有帮助的博主会收集好、然后以博主的经验整理分类后排序好分享出来。
(2)第二种是技术性文章与视频,全部放在公众号(网络之路博客)/头条号/百家号/B站(网络之路Blog)发布,以博主原创为主,主要分享系列为主,由浅入深的带大家了解工作中常用到的一些网络技术,当然也会分享一些比较经典的案例。
(3)分享资源有涉及到您的利益以及版权问题,请联系博主,24小时候内删除。
想第一时间收到最新更新内容吗,那就赶紧关注公众号/头条/B站/百家号吧~~

学习最新实用技术

远程技术支持(设备调试)

远程技术调试与技术支持,点击查看详情


原创与收集的内容,允许转载,转载时请务必以超链接形式标明文章原始出处,博客地址http://ccieh3c.com。

喜欢 (6)
[]
分享 (0)
公众号:网络之路博客(其他平台网络之路Blog)
分享一些自己懂的技术知识点,希望对大家有帮助。
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(1)个小伙伴在吐槽
  1. 有时间试试这个,谢谢楼主的分享。
    路过2016-08-30 21:49 回复 Windows 10 | Chrome 47.0.2526.108