【正文】 不起作用。 DHCP 保 護(hù) DHCP 支持 3 種 IP 地址分配機(jī)制 ： 1) 自動(dòng)分配 DHCP 為客戶端分配租期為無(wú)限 長(zhǎng)的 IP 地址。 2) 動(dòng)態(tài)分配 DHCP 為客戶端分配具有一定有效期限的 IP 地址，到達(dá)使用期限后，客戶端需要重新申請(qǐng)地址。絕大多數(shù)客戶端得到的都是這種動(dòng)態(tài)分配的地址。 3) 手工分配 網(wǎng)絡(luò)管理員為某些少數(shù)特定的 Host 綁定固定 IP 地址，且地址不會(huì)過(guò)期。 DHCP 租約過(guò)程 ： 28 29 攻擊類型： 1) DHCP 服務(wù)器冒充 該安全威脅引起的后果輕則用戶終端獲取到不一致的 IP 信息，造成終端之間通信的問(wèn)題。 重則用戶終端獲取到不安全的 IP 信息，造成中間人攻擊（ ARP攻擊也是一種中間人攻擊）或網(wǎng)絡(luò)釣魚(yú) 。 2) DHCP 服務(wù) 器 DOS 攻擊 30 DHCP 客戶端在有意或無(wú)意的情況下借助相關(guān)攻擊軟件向網(wǎng)絡(luò)中發(fā)出大量的 DHCP 請(qǐng)求，直到把 DHCP 服務(wù)器中相應(yīng)地址池中的地址全部耗盡，從而讓DHCP 服務(wù)器無(wú)法響應(yīng)正常 DHCP 請(qǐng)求，造成大量客戶機(jī)無(wú)法獲取到有效 IP 地址。 DHCP Snooping 技術(shù)原理 DHCP Snooping 是一種功能非常強(qiáng)大的保證 DHCP 服務(wù)安全部署的機(jī)制 ；通過(guò)在開(kāi)啟 DHCP Snooping 功能的交換機(jī)上定義 trust端口和 untrust端口來(lái)實(shí)現(xiàn)對(duì) DHCP Server 冒充攻擊的防范； DHCP Snooping 機(jī)制使得交換機(jī)可以嗅探經(jīng)過(guò)的 DHCP 報(bào)文，控制 DHCP 報(bào)文按照相關(guān)的安全 策略來(lái)操作； DHCP Snooping還提供了一張動(dòng)態(tài)的 binding 表，綁定表中包含有獲取到的 IP 地址、客戶端的MAC 地址、租約時(shí)間、綁定類型（靜態(tài) /動(dòng)態(tài)）、 VLAN 號(hào)、端口號(hào)等信息。該表可以幫助實(shí)現(xiàn) IPSG 以及 DAI 等功能。 Trust 端口和 Untrust 端口 ： Trust 端口允許所有 DHCP 報(bào)文經(jīng)過(guò)，用來(lái)連接合法 DHCP 服務(wù)器； Untrust 端口不能接受 DHCP OFFER 和 ACK 報(bào)文，用來(lái)連接 DHCP 客戶端。 31 嗅探 DHCP 報(bào)文 并非所有來(lái)自 Untrust 端口的 DHCP 請(qǐng)求都被允許通過(guò)，交換機(jī)還可以比較封裝 DHCP 請(qǐng)求報(bào)文的以太網(wǎng)幀頭中的源 MAC 地址和 DHCP 請(qǐng)求報(bào)文內(nèi)DHCP 客戶機(jī)的硬件地址（即 CHADDR 字段），只有這兩者相同的請(qǐng)求報(bào)文才會(huì)被轉(zhuǎn)發(fā)，否則將被丟棄。這樣就防止了 DHCP 耗竭攻擊。 DHCP 監(jiān)聽(tīng)特性還可以對(duì)端口的 DHCP 報(bào)文進(jìn)行限速。通過(guò)在每個(gè)非信任端口下進(jìn)行限速，將可以阻止合法 DHCP 請(qǐng)求報(bào)文的廣播攻擊。 建立 DHCP 監(jiān)聽(tīng)綁定表 。 DHCP 監(jiān)聽(tīng)還有一個(gè)非常重要的作用就是建立一張DHCP 監(jiān)聽(tīng)綁定表（ DHCP Snooping Binding）。一旦一個(gè)連接在非信任端口的客戶端獲得一個(gè)合法的 DHCP Offer，交換機(jī)就會(huì)自動(dòng)在 DHCP 監(jiān)聽(tīng)綁定表里添加一個(gè)綁定條目，內(nèi)容包括了該非信任端口的客戶端 IP 地址、 MAC 地址、端口號(hào)、VLAN 編號(hào)、租期等信息。 當(dāng)交換機(jī)收到一個(gè) DHCPDECLINE 或 DHCPRELEASE 廣播報(bào)文，并且報(bào)文頭的源 MAC 地址存在于 DHCP 監(jiān)聽(tīng)綁定表的一個(gè)條目中。但是報(bào)文的實(shí)際接收端口與綁定表?xiàng)l目中的端口字段不一致時(shí)，該報(bào)文將被丟棄。 這張表不僅解決了 DHCP 用戶的 IP 和端口跟蹤定 位問(wèn)題，為用戶管理提供方便，而且還為后續(xù)的 IPSG 和 DAI 技術(shù)提供動(dòng)態(tài)數(shù)據(jù)庫(kù)支持。 DHCP 監(jiān)聽(tīng)綁定表在設(shè)備重啟后會(huì)丟失，需要重新綁定，但可以通過(guò)設(shè)置將 32 綁定表保存在 flash 或者 tftp/ftp 服務(wù)器上，待設(shè)備重啟后直接讀取，而不需要客戶端再次進(jìn)行綁定。 非信任端口只允許客戶端的 DHCP 請(qǐng)求報(bào)文通過(guò)，這里只是相對(duì)于 DHCP報(bào)文來(lái)說(shuō)的。其他非 DHCP 報(bào)文還是可以正常轉(zhuǎn)發(fā)的。這就表示客戶端可以以靜態(tài)指定 IP 地址的方式通過(guò)非信任端口接入網(wǎng)絡(luò)。由于靜態(tài)客戶端不會(huì)發(fā)送DHCP 報(bào)文，所以 DHCP 監(jiān)聽(tīng)綁定表里也不會(huì)有該 靜態(tài)客戶端的記錄。 信任端口的客戶端信息不會(huì)被記錄到 DHCP 監(jiān)聽(tīng)綁定表里。如果有一客戶端連接到了一個(gè)信任端口，即使它是通過(guò)正常的 DHCP 方式獲得 IP 地址， DHCP監(jiān)聽(tīng)綁定表里也不有該客戶端的記錄。 如果要求客戶端只能以動(dòng)態(tài)獲得 IP 的方式接入網(wǎng)絡(luò)，則必須借助于 IPSG 和DAI 技術(shù)。 ARP 欺騙攻擊 在局域網(wǎng)中，通過(guò) ARP 協(xié)議來(lái)完成 IP 地址轉(zhuǎn)換為第二層物理地址（即 MAC地址）的。 ARP 協(xié)議對(duì)網(wǎng)絡(luò)安全具有重要的意義。通過(guò)偽造 IP 地址和 MAC 地址實(shí)現(xiàn) ARP 欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的 ARP 通信量使網(wǎng)絡(luò)阻塞或者實(shí) 現(xiàn)“ man in the middle” 進(jìn)行 ARP 重定向和嗅探攻擊。 33 DAI 技術(shù)原理 ： DAI（ Dynamic arp inspection，動(dòng)態(tài) arp 檢測(cè)）是一種能夠驗(yàn)證網(wǎng)絡(luò)中 ARP數(shù)據(jù)包是否合法的交換安全特性。 通過(guò) DAI，網(wǎng)絡(luò)管理員能夠攔截、記錄、和丟棄具有無(wú)效 MAC 地址 –IP 地址綁定的 arp 數(shù)據(jù)包。 該特性的實(shí)現(xiàn)也要借助于 DHCP snooping 的綁定表或手工配置。 交換機(jī)能夠檢測(cè) DAI 非信任端口收到的 ARP 報(bào)文，如果其中的 mac 與 IP對(duì)應(yīng)信息與綁定表中的信息一致則認(rèn)為該 ARP 報(bào)文為合法報(bào)文 ，若不一致則被認(rèn)為為非法 ARP 報(bào)文并丟棄，且收到該報(bào)文的接口進(jìn)入 errdisabled 狀態(tài)，攻擊者也就不能繼續(xù)對(duì)網(wǎng)絡(luò)進(jìn)行進(jìn)一步的破壞。 I P : 1 0 . 1 . 1 . 11 0 .1 . 1 .2DA I ( u n t r u s t )S n o o p in g b in d in gM A C : 0 0 0 0 . 0 0 0 0 . 0 0 0 1No t b y M y Bin d i n g T a b leM y G W I s1 0 .1 .1 .1I ’m Your GW: 10.1.1.1Mac：0000.0000.0002t r u s tX主動(dòng) A RP 改變終端設(shè)備的 A RP 與 M A C 地址動(dòng)態(tài) A RP 檢測(cè)可以利用 DH CP Snoo pi ng 綁定表（ IP+ M A C+ 端口號(hào)）檢查所有非信任端口的 A R P 請(qǐng)求和應(yīng)答（主動(dòng)式 A RP 和非主動(dòng)式 A RP ），確保應(yīng)答來(lái)自真正的 A RP 所有者。：改變終端設(shè)備的 與檢測(cè)可以利用 綁定表（號(hào)）檢查所有非信任端口的 請(qǐng)求和應(yīng)答（主動(dòng)式式 ），確保應(yīng)答來(lái)自真正的 Switch(config) ip arp inspection vlan 在某個(gè) vlan 啟用 DAI Switch(configif) ip arp inspection trust 設(shè)置為 DAI 的信任端口（默認(rèn)為非信任） Switch(configif) ip arp inspection limit rate 02048 限制入站 ARP 包的速率， 若超過(guò)，則端口進(jìn)入 errdisabled 狀態(tài) Switch show ip arp inspection interfaces 查看接口下的 DAI 34 Switch show ip arp inspection vlan vlanrange 查看 VLAN 下的 DAI 靜態(tài) IP 地址的威脅與源 IP 地址欺騙 默認(rèn)情況下， DHCP 網(wǎng)絡(luò)中還可以手工定義 IP 地址的，許多用戶喜歡經(jīng)常有意或無(wú)意的修改自己終端的 IP 地址，因此就算是有 DHCP 服務(wù)的存在，也會(huì)出現(xiàn) IP 地址沖突的情況；如果用戶手工定義的 IP 地址是該網(wǎng)段的 網(wǎng)關(guān)，則引起的危害更大，整個(gè)網(wǎng)段都沒(méi)法連到外網(wǎng)。 IPSG 技術(shù)原理 : IP 源保護(hù)（ IP Source Guard，簡(jiǎn)稱 IPSG）是一種基于 IP 或 IP+MAC 的端口流量過(guò)濾技術(shù)，它可以防止局域網(wǎng)內(nèi)的 IP 地址欺騙攻擊。 IPSG 能夠確保第 2 層網(wǎng)絡(luò)中終端設(shè)備的 IP 地址不會(huì)被劫持，而且還能確保非授權(quán)設(shè)備不能通過(guò)自己指定 IP 地址的方式來(lái)訪問(wèn)網(wǎng)絡(luò)或攻擊網(wǎng)絡(luò)導(dǎo)致網(wǎng)絡(luò)崩潰及癱瘓。 IPSG 實(shí)施時(shí)往往與 DHCP Snooping 特性一起使用。開(kāi)啟了 DHCP Snooping特性的交換機(jī)在 DHCP 客戶端與 DHCP 服務(wù)器完 成一次 IP 地址分配后就會(huì)更新DHCP 綁定表，如果在 Untrust 端口上配置 IPSG，就相當(dāng)于在這個(gè)接口上加載了基于端口的 ACL（ PACL），此時(shí)該端口對(duì)收到數(shù)據(jù)流均要進(jìn)行過(guò)濾：收到的數(shù)據(jù)流只有在其源 IP 或源 IP+源 MAC 與綁定表中該接口的 IP 地址一致，才被放通。 35 IPSG 技術(shù)原理 IP 源保護(hù)只支持第 2 層端口，其中包括 Access 端口和 Trunk 端口。 IP 源防護(hù)的信任端口 /非信任端口也就是 DHCP 監(jiān)聽(tīng)的信任端口 /非信任端口。對(duì)于非信任端口存在兩種級(jí)別的 IP 流量安全過(guò)濾： 基于源 IP 地址過(guò)濾： 根據(jù)源 IP 地址對(duì) IP 流量進(jìn)行過(guò)濾，只有當(dāng)源 IP 地址與 IP 源綁定條目匹配，IP 流量才允許通過(guò)。當(dāng)端口創(chuàng)建、 修改、 刪除新的 IP 源綁定條目的時(shí)候， IP源地址過(guò)濾器將發(fā)生變化。為了能夠反映 IP 源綁定的變更，端口 PACL 將被重新修改并重新應(yīng)用到端口上。 默認(rèn)情況下，如果端口在沒(méi)有存在 IP 源綁定條目的情況下啟用了 IP 源防護(hù)功能，默認(rèn)的 PACL 將拒絕端口的所有流量（實(shí)際上是除 DHCP 報(bào)文以外的所有 IP 流量）。 基于源 IP+源 MAC 地址過(guò)濾： 根據(jù)源 IP 地址和源 MAC 地址對(duì) IP 流量進(jìn)行過(guò)濾，只有當(dāng)源 IP 地址和源MAC 地址 都與 IP 源綁定條目匹配， IP 流量才允許通過(guò)。當(dāng)以 IP 和 MAC 地址作為過(guò)濾的時(shí)候，為了確保 DHCP 協(xié)議能夠正常的工作，還必須啟用 DHCP 監(jiān)聽(tīng)選項(xiàng) 82。 對(duì)于沒(méi)有選項(xiàng) 82 的 DHCP 報(bào)文，交換機(jī)不能確定用于轉(zhuǎn)發(fā) DHCP服務(wù)器響應(yīng)的客戶端主機(jī)端口。相應(yīng)地， DHCP 服務(wù)器響應(yīng)將被丟棄，客戶機(jī)不能獲得 IP 地址。 當(dāng)交換機(jī)只使用“ IP 源地址過(guò)濾”時(shí)， IP 源保護(hù)功能與端口安全功能是相互獨(dú)立的。 端口安全是否開(kāi)啟對(duì)于 IP 源保護(hù)功能來(lái)說(shuō)不是必須的。 如果同時(shí)開(kāi)啟，則兩者也只是一種寬松的合作關(guān)系， IP 源防護(hù)防止 IP 地址欺騙，端口 安 36 全防止 MAC 地址欺騙。 而當(dāng)交換機(jī)使用“源 IP 和源 MAC 地址過(guò)濾”時(shí)， IP 源保護(hù)功能與端口安全功能是就變成了一種“集成”關(guān)系，更確切的說(shuō)是端口安全功能被集成到 IP源防護(hù)功能里，作為 IP 源保護(hù)的一個(gè)必須的組成部分。在這種模式下，端口安全的違規(guī)處理（ violation）功能將被關(guān)閉。對(duì)于非法的二層報(bào)文，都將只是被簡(jiǎn)單的丟棄。 訪問(wèn)控制安全 信息點(diǎn)間通信和內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過(guò)安全策略來(lái)保障非授權(quán)用戶只能訪問(wèn)特定的網(wǎng)絡(luò)資源，從而達(dá)到對(duì)訪問(wèn)進(jìn)行控制的 目的。簡(jiǎn)而言之， ACL 可以過(guò)濾網(wǎng)絡(luò)中的流量，是控制訪問(wèn)的一種網(wǎng)絡(luò)技術(shù)手段。 訪問(wèn)控制列表（ Access Control List， ACL） 是路由器和交換機(jī)接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。 ACL 適用于所有的被路由協(xié)議，如 IP、 IPX、AppleTalk 等。這張表中包含了匹配關(guān)系、條件和查詢語(yǔ)句，表只是一個(gè)框架結(jié)構(gòu)，其目的是為了對(duì)某種訪問(wèn)進(jìn)行控制。 ACL 可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如， ACL 可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級(jí)。 ACL 提供對(duì)通信流量的控制手段。例如， ACL 可以限定 或簡(jiǎn)化路由更新信息的長(zhǎng)度，從而限制通過(guò)路由器某一網(wǎng)段的通信流量。 ACL是提供網(wǎng)絡(luò)安全訪問(wèn)的基本手段。 ACL 允許主機(jī) A 訪問(wèn)人力資源網(wǎng)絡(luò)，而拒絕主機(jī) B 訪問(wèn)。 ACL 可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如，用戶可以允許 Email 通信流量被路由，拒絕所有的 Tel 通信流量。例如：某部門(mén)要求只能使用 WWW 這個(gè)功能，就可以通過(guò) ACL 實(shí)現(xiàn)； 又例如，為了某部門(mén)的保密性，不允許其訪問(wèn)外網(wǎng)，也不允許外網(wǎng)訪問(wèn)它，就可以通過(guò) ACL 實(shí)現(xiàn)。 37 UDLD 單向鏈路檢測(cè) UDLD 可以 檢測(cè)一對(duì)光纖 鏈路收發(fā)是否存在故障，如果存在單向鏈路故障容易導(dǎo)致環(huán)路發(fā)生 UDLD 的工作原理： 周期性發(fā)送 UDLD 二層幀（ UDLD hello 包），對(duì)端會(huì)有 UDLD 的回應(yīng)，說(shuō)明鏈路正常 。 若三個(gè) UDLD hello 周期沒(méi)收到對(duì)端 UDLD