网络安全控制培训讲义课件

网络安全控制网络安全控制本章内容ACLARP检查DHCP监听DAI本章内容ACL课程议题ACL提供网络安全课程议题ACL提供网络安全ACL概述什么是ACLACL是对经过路由器与交换机的数据进行过滤的一种强大的访问控制工具ACL的作用拒绝、允许特定的数据流通过网络设备防止攻击访问控制节省带宽…对特定的数据流、报文、路由条目等进行匹配和标识，以用于其它目的路由过滤QoSRoute-map…ACL概述什么是ACLACL的分类根据过滤层次基于IP的ACL（IPACL）基于MAC的ACL（MACACL）专家ACL（ExpertACL）根据过滤字段（元素）标准ACL（标准IPACL）扩展ACL（扩展IPACL、MACACL、专家ACL）根据命名规则编号ACL名称ACLACL的分类根据过滤层次ACL的工作机制ACL的工作机制由一组访问控制规则组成（ACL规则）网络设备根据ACL规则检查收到或发送的报文，并采取相应操作ACL规则匹配顺序从上至下当报文匹配某条规则后，将执行操作，跳出匹配过程任何ACL的默认操作是“拒绝所有”ACL的工作机制ACL的工作机制ACL的应用定义ACL定义ACL规则将ACL应用到网络设备的接口ACL的应用规则接口的一个方向只能应用一个ACLIn方向：对接口收到的数据进行检查Out方向：对从接口发送出去的数据进行检查ACL不对本地生成的外出的数据进行检查！ACL的应用定义ACL标准IPACL编号规则1~99和1300~1399过滤元素仅源IP地址信息用于简单的访问控制、路由过滤等标准IPACL编号规则配置标准IPACL配置ACL规则access-listaccess-list-number

{permit|deny}

{any|

source

source-wildcard

}

[time-rangetime-range-name]

Router(config)#应用ACLipaccess-groupaccess-list-number{in|out}

Router(config-if)#in表示应用到接口的入方向，对收到的报文进行检查out表示应用到接口的外出方向，对发送的报文进行检查配置标准IPACL配置ACL规则access-lista标准IPACL配置示例要求网段的主机不可以访问服务器，其它主机访问服务器不受限制。标准IPACL配置示例要求网段的主机不扩展IPACL编号规则100~199和2000~2699过滤元素源IP地址、目的IP地址、协议、源端口、目的端口用于高级的、精确的访问控制扩展IPACL编号规则配置扩展IPACL配置ACL规则access-listaccess-list-number{deny|permit}protocol

{any|sourcesource-wildcard}[operatorport

]{any|destinationdestination-wildcard}[operatorport][precedenceprecedence][tostos][time-rangetime-range-name][dscp

dscp][fragment]

Router(config)#应用ACLipaccess-groupaccess-list-number{in|out}

Router(config-if)#配置扩展IPACL配置ACL规则access-lista扩展IPACL配置示例为公司的文件服务器，要求网段中的主机能够访问中的FTP服务和WEB服务，而对服务器的其它服务禁止访问。扩展IPACL配置示例为公司的文件服务名称IPACL配置标准名称ACLipaccess-liststandard{name|access-list-number}

Router(config)#应用ACLipaccess-groupaccess-list-number{in|out}

Router(config-if)#配置ACL规则{permit|deny}{any|sourcesource-wildcard}[time-range

time-range-name]

Router(config-std-nacl)#名称IPACL配置标准名称ACLipaccess-lis名称IPACL（续）配置扩展名称ACLipaccess-listextended{name|access-list-number}

Router(config)#应用名称ACLipaccess-groupname{in|out}

Router(config-if)#配置ACL规则{permit|deny}protocol{any|sourcesource-wildcard

}

[operatorport]{any|destinationdestination-wildcard}[operatorport][time-range

time-range-name][dscp

dscp][fragment]

Router(config-ext-nacl)#名称IPACL（续）配置扩展名称ACLipaccess-名称IPACL配置示例名称IPACL配置示例基于MAC的ACL标识方式编号：700~799名称过滤元素源MAC地址、目的MAC地址、以太网类型基于MAC的ACL标识方式配置MACACL配置MACACLmacaccess-listextended{name|access-list-number}

Switch(config)#应用MACACLmacaccess-group{name|access-list-number}

{in|out}

Switch(config-if)#配置ACL规则{permit|deny}{any|hostsource-mac-address}{any|host

destination-mac-address}[ethernet-type

][time-range

time-range-name]

Switch(config-mac-nacl)#配置MACACL配置MACACLmacaccess-lMACACL配置示例只允许财务部的主机（000a-000a-000a）能够访问财务服务器（000d-000d-000d）。MACACL配置示例只允许财务部的主机（000a-000aMACACL配置示例MACACL配置示例专家ACL标识方式编号：2700~2899名称过滤元素源MAC地址、目的MAC地址、以太网类型、源IP地址、目的IP地址、协议、源端口、目的端口用于复杂的、高级的访问控制专家ACL标识方式配置专家ACL配置专家ACLexpertaccess-listextended{name|access-list-number}

Switch(config)#应用MACACLexpertaccess-group{name|access-list-number}

{in|out}

Switch(config-if)#配置ACL规则{permit|deny}[protocol|ethernet-type][VIDvid

][{any|sourcesource-wildcard}

]{host

source-mac-address|any}[operatorport]

[{any|destinationdestination-wildcard}]

{host

destination-mac-address|any}[operatorport][precedenceprecedence][tostos][time-rangetime-range-name][dscp

dscp][fragment]

Switch(config-exp-nacl)#配置专家ACL配置专家ACLexpertaccess-li专家ACL配置示例只允许财务部的主机（000a-000a-000a）能够访问财务服务器（000d-000d-000d）的TCP5555端口。专家ACL配置示例只允许财务部的主机（000a-000a-0专家ACL配置示例专家ACL配置示例基于时间的ACL基于时间的ACL对于不同的时间段实施不同的访问控制规则在原有ACL的基础上应用时间段任何类型的ACL都可以应用时间段时间段绝对时间段（absolute）周期时间段（periodic）混合时间段基于时间的ACL基于时间的ACL配置时间段配置时间段time-rangetime-range-name

Router(config)#配置绝对时间absolute{start

timedate[end

timedate]|end

timedate}

Router(config-time-range)#start

timedate：表示时间段的起始时间。time表示时间，格式为“hh:mm”。date表示日期，格式为“日月年”

endtimedate：表示时间段的结束时间，格式与起始时间相同示例：absolutestart08:001Jan2007end10:001Feb2008配置时间段配置时间段time-rangetime-rang配置时间段（续）配置周期时间periodicday-of-the-weekhh:mmto

[day-of-the-week]hh:mm

periodic{weekdays|weekend|daily}hh:mmtohh:mm

Router(config-time-range)#day-of-the-week：表示一个星期内的一天或者几天，Monday，Tuesday，Wednesday，Thursday，Friday，Saturday，Sundayhh:mm：表示时间weekdays：表示周一到周五weekend：表示周六到周日daily：表示一周中的每一天示例：periodicweekdays09:00to18:00配置时间段（续）配置周期时间periodicday-of-配置时间段（续）应用时间段在ACL规则中使用time-range参数引用时间段只有配置了time-range的规则才会在指定的时间段内生效，其它未引用时间段的规则将不受影响确保设备的系统时间的正确！配置时间段（续）应用时间段基于时间的ACL配置示例在上班时间（9：00~18：00）不允许员工的主机（/24）访问Internet，下班时间可以访问Internet上的Web服务。基于时间的ACL配置示例在上班时间（9：00~18：00）不ACL的修改和维护传统编号ACL的修改问题新规则添加到ACL的末尾删除所有ACL规则重新编写导出配置文件进行修改将ACL规则复制到编辑工具进行修改ACL配置模式使用ipaccess-list命令进入ACL配置模式可以删除特定的ACL规则在任意位置插入新的ACL规则ACL的修改和维护传统编号ACL的修改问题添加和删除ACL规则添加ACL规则sequence-number{permit|deny}……

Router(config-ext-nacl)#sequence-number

：规则在ACL中的序号，即排序的位置默认根据序号从小到大进行排序删除ACL规则nosequence-numberRouter(config-ext-nacl)#添加和删除ACL规则添加ACL规则sequence-numb添加ACL规则配置示例添加ACL规则配置示例删除ACL规则配置示例删除ACL规则配置示例ACL规则的重编号ipaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-number

Router(config)#starting-sequence-number：ACL规则的起始序号值，默认为10increment-number：ACL规则的递增序号值，默认为10macaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-number

expertaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-number

ACL规则的重编号ipaccess-listresequACL规则重编号配置示例ACL规则重编号配置示例查看ACL信息showrunning-configRouter#showaccess-lists[name|access-list-number]查看ACL配置信息查看ACL配置信息示例查看ACL信息showrunning-configRout查看ACL信息（续）showaccess-group[interfaceinterface]

Router#查看所有ACL的应用信息showipaccess-group[interfaceinterface]

Router#查看IPACL的应用信息showmacaccess-group[interfaceinterface]

Router#查看MACACL的应用信息showexpertaccess-group[interfaceinterface]

Router#查看专家ACL的应用信息查看ACL信息（续）showaccess-group[查看ACL信息示例查看ACL信息示例课程议题ARP检查课程议题ARP检查ARP协议ARP的作用将IP地址映射到MAC地址ARP协议ARP的作用ARP欺骗攻击ARP的弱点ARP无验证机制，请求者不能判断收到的ARP应答是否合法ARP欺骗攻击ARP的弱点ARP中间人攻击ARP中间人攻击攻击者不但伪造网关，而且进行数据重定向ARP中间人攻击ARP中间人攻击ARP检查ARP检查的作用防止ARP欺骗基于端口安全检查ARP报文中的IP地址是否合法，若不合法，则丢弃报文ARP检查ARP检查的作用配置ARP检查手工恢复端口状态port-securityarp-check

Switch(config)#启用端口安全switchportport-security

Switch(config-if)#默认情况下，关闭ARP检查功能

配置安全IP地址switchportport-securitymac-addressmac-addressip-address

ip-addressSwitch(config-if)#这里配置的ip-address为端口所接入设备的真实IP地址

配置ARP检查手工恢复端口状态port-securityaARP检查配置示例ARP检查配置示例查看ARP检查状态查看ARP检查状态showport-securityarp-check

Switch#查看ARP检查示例查看ARP检查状态查看ARP检查状态showport-se课程议题DHCP监听课程议题DHCP监听DHCP攻击DHCP的弱点DHCP无验证机制DHCP攻击攻击者使用伪DHCP服务器为网络分配地址攻击者可以发动一个DHCPDoS攻击DHCP攻击DHCP的弱点DHCP攻击（续）DHCP攻击（续）DHCPSnoopingDHCPSnooping的作用过滤伪（非法）DHCP服务器发送的DHCP报文DHCPSnooping的工作机制信任（Trust）端口允许所有DHCP报文通过非信任（Untrust）端口只允许DHCPDiscovery、DHCPRequest报文通过，过滤DHCPOffer报文建立DHCP监听数据库包含客户端的IP地址、MAC地址、连接的端口、VLAN号、地址租用期限等信息

DHCPSnoopingDHCPSnooping的作用DHCPSnooping的部署信任（Trust）端口用于连接合法的DHCP服务器和上行链路端口非信任（Untrust）端口用于连接DHCP客户端和其它接入端口DHCPSnooping的部署信任（Trust）端口配置DHCPSnooping启用DHCPSnoopingipdhcpsnooping

Switch(config)#配置端口为信任端口ipdhcpsnoopingtrust

Switch(config-if)#默认情况下，关闭DHCPSnooping

默认情况下，所有端口都为Untrust端口

配置DHCPSnooping启用DHCPSnooping配置DHCPSnooping（续）手工配置DHCPSnooping表项ipdhcpsnoopingbindingmac-addressvlanvlan-idipip-addressinterfaceinterface

Switch(config)#将DHCPSnooping数据库写入到Flash文件ipdhcpsnoopingdatabasewrite-to-flash

Switch(config)#默认情况下，关闭DHCPSnooping

DHCP监听数据库的信息是动态的，通过写入Flash，可以避免由于系统的重新启动导致数据库中的信息丢失配置DHCPSnooping（续）手工配置DHCPSno配置DHCPSnooping（续）配置自动写入DHCPSnooping绑定信息ipdhcpsnoopingdatabasewrite-delay

seconds

Switch(config)#配置验证Untrust端口检查DHCP报文的源MAC地址ipdhcpsnoopingverifymac-address

Switch(config)#默认情况下，不检查DHCP报文的源MAC地址可以避免攻击者发送伪造源MAC地址的DHCP报文，导致DHCPDoS攻击配置DHCPSnooping（续）配置自动写入DHCPSDHCPSnooping配置示例DHCPSnooping配置示例查看DHCPSnooping状态查看DHCPSnooping配置信息showipdhcpsnooping

Switch#查看DHCPSnooping数据库信息showipdhcpsnoopingbinding

Switch#此信息将显示动态与静态的绑定表项只有Untrust端口才会存在绑定表项清除DHCPSnooping数据库clearipdhcpsnoopingbinding

Switch#静态的绑定表项不会被删除查看DHCPSnooping状态查看DHCPSnoopi查看DHCPSnooping状态示例查看DHCPSnooping状态示例课程议题DAI课程议题DAIDAI概述DAI（DynamicARPInspection）与ARP检查一样，用于防止ARP欺骗ARP检查需要静态配置安全地址不适用于动态IP地址环境不适用与移动环境DAI依赖于DHCPSnooping数据库要使用DAI，需要部署DHCP环境DAITrust端口不检查ARP报文DAIUntrust端口检查所有收到的ARP报文DAI概述DAI（DynamicARPInspectioDAI部署Trust端口连接交换机间的上行链路与DHCPServerUntrust端口连接DHCP客户端端口状态需要与DHCPSnooping端口状态一致DHCPSnoopingTrust端口不存在绑定表项建议在DHCP环境中部署DAIDAI部署Trust端口配置DAI启用DHCPSnooping并设置端口状态ipdhcpsnooping

Switch(config)#ipdhcpsnoopingtrust

Switch(config-if)#启用DAIiparpinspection

Switch(config)#默认情况下，关闭DAI配置DAI启用DHCPSnooping并设置端口状态ip配置DAI（续）在VLAN中启用DAIiparpinspectionvlanvlan-range

Switch(config)#iparpinspection

trust

Switch(config-if)#配置端口状态只有对VLAN启用了DAI，才会检查此VLAN收到的ARP报文默认情况下，所有端口都为Untrust端口配置DAI（续）在VLAN中启用DAIiparpinsp配置DAI（续）配置Untrust端口的ARP限速iparpinspectionlimit-ratepps

Switch(config-if)#iparpinspectionlimit-ratenone

Switch(config-if)#取消接口ARP限速默认情况下，Untrust端口的ARP速率阈值为15ppsTrust端口的ARP速率阈值永远为0，即不限速，虽然可以对其进行配置对于Trunk端口，可以提高速率阈值或者取消限速配置DAI（续）配置Untrust端口的ARP限速iparDAI配置示例DAI配置示例查看DAI状态查看DAI配置信息showiparpinspectionvlan[

vlan-range

]

Switch#showiparpinspectioninterface[interface]

Switch#查看接口的DAI信息查看DAI状态查看DAI配置信息showiparpin查看DAI状态示例查看DAI状态示例Q&AQ&A演讲完毕，谢谢观看！演讲完毕，谢谢观看！网络安全控制网络安全控制本章内容ACLARP检查DHCP监听DAI本章内容ACL课程议题ACL提供网络安全课程议题ACL提供网络安全ACL概述什么是ACLACL是对经过路由器与交换机的数据进行过滤的一种强大的访问控制工具ACL的作用拒绝、允许特定的数据流通过网络设备防止攻击访问控制节省带宽…对特定的数据流、报文、路由条目等进行匹配和标识，以用于其它目的路由过滤QoSRoute-map…ACL概述什么是ACLACL的分类根据过滤层次基于IP的ACL（IPACL）基于MAC的ACL（MACACL）专家ACL（ExpertACL）根据过滤字段（元素）标准ACL（标准IPACL）扩展ACL（扩展IPACL、MACACL、专家ACL）根据命名规则编号ACL名称ACLACL的分类根据过滤层次ACL的工作机制ACL的工作机制由一组访问控制规则组成（ACL规则）网络设备根据ACL规则检查收到或发送的报文，并采取相应操作ACL规则匹配顺序从上至下当报文匹配某条规则后，将执行操作，跳出匹配过程任何ACL的默认操作是“拒绝所有”ACL的工作机制ACL的工作机制ACL的应用定义ACL定义ACL规则将ACL应用到网络设备的接口ACL的应用规则接口的一个方向只能应用一个ACLIn方向：对接口收到的数据进行检查Out方向：对从接口发送出去的数据进行检查ACL不对本地生成的外出的数据进行检查！ACL的应用定义ACL标准IPACL编号规则1~99和1300~1399过滤元素仅源IP地址信息用于简单的访问控制、路由过滤等标准IPACL编号规则配置标准IPACL配置ACL规则access-listaccess-list-number

{permit|deny}

{any|

source

source-wildcard

}

[time-rangetime-range-name]

Router(config)#应用ACLipaccess-groupaccess-list-number{in|out}

Router(config-if)#in表示应用到接口的入方向，对收到的报文进行检查out表示应用到接口的外出方向，对发送的报文进行检查配置标准IPACL配置ACL规则access-lista标准IPACL配置示例要求网段的主机不可以访问服务器，其它主机访问服务器不受限制。标准IPACL配置示例要求网段的主机不扩展IPACL编号规则100~199和2000~2699过滤元素源IP地址、目的IP地址、协议、源端口、目的端口用于高级的、精确的访问控制扩展IPACL编号规则配置扩展IPACL配置ACL规则access-listaccess-list-number{deny|permit}protocol

{any|sourcesource-wildcard}[operatorport

]{any|destinationdestination-wildcard}[operatorport][precedenceprecedence][tostos][time-rangetime-range-name][dscp

dscp][fragment]

Router(config)#应用ACLipaccess-groupaccess-list-number{in|out}

Router(config-if)#配置扩展IPACL配置ACL规则access-lista扩展IPACL配置示例为公司的文件服务器，要求网段中的主机能够访问中的FTP服务和WEB服务，而对服务器的其它服务禁止访问。扩展IPACL配置示例为公司的文件服务名称IPACL配置标准名称ACLipaccess-liststandard{name|access-list-number}

Router(config)#应用ACLipaccess-groupaccess-list-number{in|out}

Router(config-if)#配置ACL规则{permit|deny}{any|sourcesource-wildcard}[time-range

time-range-name]

Router(config-std-nacl)#名称IPACL配置标准名称ACLipaccess-lis名称IPACL（续）配置扩展名称ACLipaccess-listextended{name|access-list-number}

Router(config)#应用名称ACLipaccess-groupname{in|out}

Router(config-if)#配置ACL规则{permit|deny}protocol{any|sourcesource-wildcard

}

[operatorport]{any|destinationdestination-wildcard}[operatorport][time-range

time-range-name][dscp

dscp][fragment]

Router(config-ext-nacl)#名称IPACL（续）配置扩展名称ACLipaccess-名称IPACL配置示例名称IPACL配置示例基于MAC的ACL标识方式编号：700~799名称过滤元素源MAC地址、目的MAC地址、以太网类型基于MAC的ACL标识方式配置MACACL配置MACACLmacaccess-listextended{name|access-list-number}

Switch(config)#应用MACACLmacaccess-group{name|access-list-number}

{in|out}

Switch(config-if)#配置ACL规则{permit|deny}{any|hostsource-mac-address}{any|host

destination-mac-address}[ethernet-type

][time-range

time-range-name]

Switch(config-mac-nacl)#配置MACACL配置MACACLmacaccess-lMACACL配置示例只允许财务部的主机（000a-000a-000a）能够访问财务服务器（000d-000d-000d）。MACACL配置示例只允许财务部的主机（000a-000aMACACL配置示例MACACL配置示例专家ACL标识方式编号：2700~2899名称过滤元素源MAC地址、目的MAC地址、以太网类型、源IP地址、目的IP地址、协议、源端口、目的端口用于复杂的、高级的访问控制专家ACL标识方式配置专家ACL配置专家ACLexpertaccess-listextended{name|access-list-number}

Switch(config)#应用MACACLexpertaccess-group{name|access-list-number}

{in|out}

Switch(config-if)#配置ACL规则{permit|deny}[protocol|ethernet-type][VIDvid

][{any|sourcesource-wildcard}

]{host

source-mac-address|any}[operatorport]

[{any|destinationdestination-wildcard}]

{host

destination-mac-address|any}[operatorport][precedenceprecedence][tostos][time-rangetime-range-name][dscp

dscp][fragment]

Switch(config-exp-nacl)#配置专家ACL配置专家ACLexpertaccess-li专家ACL配置示例只允许财务部的主机（000a-000a-000a）能够访问财务服务器（000d-000d-000d）的TCP5555端口。专家ACL配置示例只允许财务部的主机（000a-000a-0专家ACL配置示例专家ACL配置示例基于时间的ACL基于时间的ACL对于不同的时间段实施不同的访问控制规则在原有ACL的基础上应用时间段任何类型的ACL都可以应用时间段时间段绝对时间段（absolute）周期时间段（periodic）混合时间段基于时间的ACL基于时间的ACL配置时间段配置时间段time-rangetime-range-name

Router(config)#配置绝对时间absolute{start

timedate[end

timedate]|end

timedate}

Router(config-time-range)#start

timedate：表示时间段的起始时间。time表示时间，格式为“hh:mm”。date表示日期，格式为“日月年”

endtimedate：表示时间段的结束时间，格式与起始时间相同示例：absolutestart08:001Jan2007end10:001Feb2008配置时间段配置时间段time-rangetime-rang配置时间段（续）配置周期时间periodicday-of-the-weekhh:mmto

[day-of-the-week]hh:mm

periodic{weekdays|weekend|daily}hh:mmtohh:mm

Router(config-time-range)#day-of-the-week：表示一个星期内的一天或者几天，Monday，Tuesday，Wednesday，Thursday，Friday，Saturday，Sundayhh:mm：表示时间weekdays：表示周一到周五weekend：表示周六到周日daily：表示一周中的每一天示例：periodicweekdays09:00to18:00配置时间段（续）配置周期时间periodicday-of-配置时间段（续）应用时间段在ACL规则中使用time-range参数引用时间段只有配置了time-range的规则才会在指定的时间段内生效，其它未引用时间段的规则将不受影响确保设备的系统时间的正确！配置时间段（续）应用时间段基于时间的ACL配置示例在上班时间（9：00~18：00）不允许员工的主机（/24）访问Internet，下班时间可以访问Internet上的Web服务。基于时间的ACL配置示例在上班时间（9：00~18：00）不ACL的修改和维护传统编号ACL的修改问题新规则添加到ACL的末尾删除所有ACL规则重新编写导出配置文件进行修改将ACL规则复制到编辑工具进行修改ACL配置模式使用ipaccess-list命令进入ACL配置模式可以删除特定的ACL规则在任意位置插入新的ACL规则ACL的修改和维护传统编号ACL的修改问题添加和删除ACL规则添加ACL规则sequence-number{permit|deny}……

Router(config-ext-nacl)#sequence-number

：规则在ACL中的序号，即排序的位置默认根据序号从小到大进行排序删除ACL规则nosequence-numberRouter(config-ext-nacl)#添加和删除ACL规则添加ACL规则sequence-numb添加ACL规则配置示例添加ACL规则配置示例删除ACL规则配置示例删除ACL规则配置示例ACL规则的重编号ipaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-number

Router(config)#starting-sequence-number：ACL规则的起始序号值，默认为10increment-number：ACL规则的递增序号值，默认为10macaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-number

expertaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-number

ACL规则的重编号ipaccess-listresequACL规则重编号配置示例ACL规则重编号配置示例查看ACL信息showrunning-configRouter#showaccess-lists[name|access-list-number]查看ACL配置信息查看ACL配置信息示例查看ACL信息showrunning-configRout查看ACL信息（续）showaccess-group[interfaceinterface]

Router#查看所有ACL的应用信息showipaccess-group[interfaceinterface]

Router#查看IPACL的应用信息showmacaccess-group[interfaceinterface]

Router#查看MACACL的应用信息showexpertaccess-group[interfaceinterface]

Router#查看专家ACL的应用信息查看ACL信息（续）showaccess-group[查看ACL信息示例查看ACL信息示例课程议题ARP检查课程议题ARP检查ARP协议ARP的作用将IP地址映射到MAC地址ARP协议ARP的作用ARP欺骗攻击ARP的弱点ARP无验证机制，请求者不能判断收到的ARP应答是否合法ARP欺骗攻击ARP的弱点ARP中间人攻击ARP中间人攻击攻击者不但伪造网关，而且进行数据重定向ARP中间人攻击ARP中间人攻击ARP检查ARP检查的作用防止ARP欺骗基于端口安全检查ARP报文中的IP地址是否合法，若不合法，则丢弃报文ARP检查ARP检查的作用配置ARP检查手工恢复端口状态port-securityarp-check

Switch(config)#启用端口安全switchportport-security

Switch(config-if)#默认情况下，关闭ARP检查功能

配置安全IP地址switchportport-securitymac-addressmac-addressip-address

ip-addressSwitch(config-if)#这里配置的ip-address为端口所接入设备的真实IP地址

配置ARP检查手工恢复端口状态port-securityaARP检查配置示例ARP检查配置示例查看ARP检查状态查看ARP检查状态showport-securityarp-check

Switch#查看ARP检查示例查看ARP检查状态查看ARP检查状态showport-se课程议题DHCP监听课程议题DHCP监听DHCP攻击DHCP的弱点DHCP无验证机制DHCP攻击攻击者使用伪DHCP服务器为网络分配地址攻击者可以发动一个DHCPDoS攻击DHCP攻击DHCP的弱点DHCP攻击（续）DHCP攻击（续）DHCPSnoopingDHCPSnooping的作用过滤伪（非法）DHCP服务器发送的DHCP报文DHCPSnooping的工作机制信任（Trust）端口允许所有DHCP报文通过非信任（Untrust）端口只允许DHCPDiscovery、DHCPRequest报文通过，过滤DHCPOffer报文建立DHCP监听数据库包含客户端的IP地址、MAC地址、连接的端口、VLAN号、地址租用期限等信息

DHCPSnoopingDHCPSnooping的作用DHCPSnooping的部署信任（Trust）端口用于连接合法的DHCP服务器和上行链路端口非信任（Untrust）端口用于连接DHCP客户端和其它接入端口DHCPSnooping的部署信任（Trust）端口配置DHCPSnooping启用DHCPSnoopingipdhcpsnooping

Switch(config)#配置端口为信任端口ipdhcpsnoopingtrust

Switch(config-if)#默认情况下，关闭DHCPSnooping

默认情况下，所有端口都为Untrust端口

配置DHCPSnooping启用DHCPSnooping配置DHCPSnooping（续）手工配置DHCPSnooping表项ipdhcpsnoopingbindingmac-addressvlanvlan-idipip-addressinterfaceinterface

Switch(config)#将DHCPSnooping数据库写入到Flash文件ipdhcpsnoopingdatabasewrite-to-flash

Switch(config)#默认情况下，关闭DH