![Juniper ARP防护[分享借鉴]_第1页](http://file1.renrendoc.com/fileroot_temp2/2020-10/5/1025cf72-b156-4632-ae46-2e88c18fd18c/1025cf72-b156-4632-ae46-2e88c18fd18c1.gif)
![Juniper ARP防护[分享借鉴]_第2页](http://file1.renrendoc.com/fileroot_temp2/2020-10/5/1025cf72-b156-4632-ae46-2e88c18fd18c/1025cf72-b156-4632-ae46-2e88c18fd18c2.gif)
付费下载
下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、Juniper 设备的ARP防护有个DAI(Dynamic ARP Inspection-动态ARP检测)协议,此协议的运行需要借用DHCP snooping的数据库,且只检测untrust接口的ARP包。在juniper交换机中,默认情况下access是untrust端口,trunk是trust端口。所以DAI协议默认只能检测access端口,对trunk端口不起作用。DAI是运行在VLAN上的协议,在物理端口上,可以进行MAC学习限制(mac limit)。此外,在三层端口模式下,可以进行ARP绑定(例:set interfaces ge-0/0/0 unit 0 family inet
2、address 1.1.1.1/32 arp 1.1.1.3 mac 00:00:00:00:00:00),此绑定针对的是对端通信IP的MAC。下面详细介绍下mac limit、DHCP snooping及DAI的应用。1. mac limit限制端口学到的MAC地址,并且根据学到的数目对端口进行log,drop,shutdown等动作。例:edit ethernet-switching-optionsJuniper_EX4550# show secure-access-port interface ge-0/0/1.0 allowed-mac 00:00:00:00:00:01 00:00:
3、00:00:00:02 ; interface ge-0/0/2.0 mac-limit 1 action log; interface ge-0/0/3.0 mac-limit 2 action drop; interface ge-0/0/4.0 mac-limit 3 action shutdown;2. DHCP snoopingDHCP会接受任何设备的请求,回应请求,可能会造成DoS攻击,通过DHCP snooping可以进行防护:建立DHCP SNOOPING DATABAS,用来检查DHCP数据。任何在untrust配置下的端口会进行数据库检查。默认情况下,access是untr
4、ust端口,trunk是trust端口。snooping过程:交换机收到DHCP请求后,检查数据,升级数据库在转发给serverserver回复包给交换机交换机同样检查数据,升级数据库,在转发给PC 例:edit ethernet-switching-options Juniper_EX4550# show secure-access-port interface ge-0/0/1.0 dhcp-trusted; interface ge-0/0/2.0 no-dhcp-trusted; vlan 100 examine-dhcp; 查看:Juniper_EX4550 show dhcp sn
5、ooping bindingJuniper_EX4550 clear dhcp snooping binding3. DAI与DHCP snooping合用,通过借用DHCP snooping的数据库,进行ARP欺骗防护,任何ARP包经过交换机转发时都要检查源MAC地址,对应数据库决定是否合法。DAI只能对VLAN进行配置,不能对接口配置DAI只检查untrust接口的ARP包例:edit ethernet-switching-optionsJuniper_EX4550# show secure-access-port interface ge-0/0/1.0 dhcp-trusted; /设置不被信任的端口 vlan 100 arp-inspection; /在VLAN下设置ARP保护 examine-dhcp; /对ARP保护提供DHCP snooping 数据库 查看:Juniper_
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 乡镇财政审计监督制度
- 学校审计责任追究制度
- 审计一审双报告制度
- 学会财务审计制度
- 2.选人用人制度
- 审计督察工作制度
- 审计服务质量回访制度
- 国企健全绩效考核制度
- 制版厂绩效考核制度
- 审计专硕学年制度
- 2026年学雷锋精神主题宣讲课件-传承榜样力量争做时代新人
- 2025年融媒体中心编导笔试及答案
- 2025安徽合肥市口腔医院公开引进高层次人才10人笔试历年典型考题及考点剖析附带答案详解试卷2套
- 退役军人事务
- 2026中证数据校园招聘备考题库(含答案详解)
- 《老年临床营养管理服务规范》编制说明
- 2025-2026学年湘艺版小学音乐四年级下册教学计划及进度表
- 一汽集团招聘网络测评试题
- 地下商场火灾应急处置预案
- 2026年河南农业职业学院单招职业技能测试模拟测试卷附答案
- 疫苗冷链管理培训课件
评论
0/150
提交评论