思科交换机局域网防护指南

在CCNP SWITCH 交换教材里提到了DHCP snooping 的作用有3个 分别是 DHCP 防护，IP源防护和动态ARP检验（DAI）

在交换机全局启用DHCP snooping 之后，在本地会生成一个DHCP snooping数据库，结合该数据库配合适当的命令语句就能实现上述局域网防护功能

DHCP snooping 用于局域网DHCP防护：范例

Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 1 ，3-5
Switch(config)#interface range fastEthernet 0/1 - 23
Switch(config-if-range)#ip dhcp snooping limit rate 3
Switch(config)#interface fa 0/24
Switch(config-if)#ip dhcp snooping trust

1、全局打开DHCP snooping
2、在制定vlan 列表实施DHCP snooping
3-4、默认fastEthernet 0/1 - 23 为dhcp snooping untrust 我们限制其发送DHCP request的速率为每秒3个包
5-6、将上联DHCP服务器的24口设置为DHCP snooping trust信任端口，使其可以发送DHCP reply 等相关回复报文

IP源防护，可以做到将端口MAC VLAN IP绑定，用于防护局域网IP欺骗

Switch(config-if-range)#switchport port-security
Switch(config-if-range)#switchport port-security mac-address sticky
Switch(config-if-range)#switchport port-security violation restrict
Switch(config-if-range)#exi

Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 1 ，3-5
Switch(config)#interface range fastEthernet 0/1 - 23
Switch(config-if-range)#ip dhcp snooping limit rate 3
Switch(config)#interface fa 0/24
Switch(config-if)#ip dhcp snooping trust

Switch(config)#ip source binding 00aa.aabb.1011 vlan 1 192.168.25.2 interface fa 0/1
Switch(config)#interface range fa 0/1 - 23
Switch(config-if-range)#ip verify source port-security

1、第一步配置端口安全
2、第二步配置DHCP snooping
3、第三步开启三层和二层端口验证（对于没有通过DHCP获得地址的PC都需要手工绑定，麻烦就麻烦在这里）

动态ARP检验（DAI）用于防御局域网ARP欺骗攻击，局域网ARP毒化，中间人攻击

Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 1 ，3-5
Switch(config)#interface range fastEthernet 0/1 - 23
Switch(config-if-range)#ip dhcp snooping limit rate 3
Switch(config)#interface fa 0/24
Switch(config-if)#ip dhcp snooping trust

Switch(config)#ip arp inspection vlan 1 , 3-5
Switch(config)#arp access-list staticARP
Switch(config-acl)#permit ip host 192.168.1.10 mac host 0006.5b02.a841
Switch(config-acl)#permit ip host 192.168.1.101 mac host 0006.5b02.a842
Switch(config)#exit
Switch(config)#ip arp inspection filter staticARP vlan 3
Switch(config)#interface fa 0/24
Switch(config-if)#ip arp inspection trust

第一步：实施DHCP snooping
第二步：在相关VLAN 实施ARP动态检测，并且对于不通过DHCP获取地址的PC 通过ACL列表手工绑定ARP条目
局域网安全防护还包括一下条目
1 、协议优化：使用更加安全的协议，关闭不安全协议 使用SSH V3 HTTPS 关闭HTTP Telnet 使用SNMP V3 关闭v1 v2的读模式
2、密码优化，使用强密码 enable secret service password encyption
3、使用ACL控制有权限访问的IP 并将ACL应用于 VTY SSH HTTPS In 方向
4、配合radius服务器实施802.1X认证