交换机基础安全功能原理与应用.ppt

ARP协议简介 * ARP协议过程通过ARP Request和ARP Replay两个报文学习到IP对应的MAC地址 ARP request ARP reply PC1 PC2 IP: MAC:00d0.f800.0001 IP: MAC:00d0.f800.0002 PC3 PCN 欺骗原理 欺骗者伪造Send’s IP与Sender’s MAC 受骗主机用的Sender MAC与Sender IP更新自己的ARP表 ARP欺骗 * 网关 PC2 PC1 00d0.f800.0001 00d0.f800.0002 54 001a.a908.9f0b Cheat（ARP Request） ARP欺骗攻击目的 为什么产生ARP欺骗攻击？ 表象：网络通讯中断 真实目的：截获网络通讯数据 * PC1 网关 主机型 网关型 欺骗者 ARP-check 概述 ARP检查功能，防止ARP欺骗的产生 原理 利用FFP中IP+MAC过滤表项，生成ARP过滤表项 过滤ARP字段 Sender’s IP Sender’s MAC * Dest MAC Source MAC TYPE IP Source IP Dest IP 原FFP逻辑示意 新增FFP逻辑示意 Dest MAC Source MAC TYPE ARP Sender’s IP Sender’s MAC ARP-check的应用场合 场合 Port-Security IP Source Guard 802.1x + 授权 其他能形成IP+MAC过滤表项的功能 * ARP-check配置 开启ARP-check功能 Ruijie(config-FastEthernet 0/1)#arp-check 查看ARP-check表项 Ruijie(config)#show int arp list * DAI * 概述 动态ARP监测，用于防止ARP欺骗的发生 原理 提取DHCP Snooping数据库中的IP+MAC表项 利用CPU过滤ARP报文发送者字段(Sender’s IP/MAC) 如果ARP报文的发送者字段不存在于数据库中则丢弃该ARP报文 端口角色 非信任口：拒绝不存在于DHCP Snooping数据库ARP报文 信任口：允许所有ARP报文通过 默认角色：非信任口 DAI配置 指定DAI监测VLAN Ruijie(config)#ip arp inspection vlan 1 设置DAI信任接口 Ruijie(config-FastEthernet 0/1)#ip arp inspection trust 查看DAI配置 Ruijie#show ip arp inspection vlan 1 * ARP-chek与DAI的区别 IP、MAC来源 ARP-check：FFP中IP/MAC过滤表项 DAI：DHCP Snooping数据库 处理方式 ARP-check：FFP硬件处理 DAI：CPU软件处理 * 各种防ARP欺骗方案比较 * 环境/方案 Port-Security + ARP-check DHCP Snooping + IP Source guard + ARP-check DHCP Snooping + DAI Supplicant授权 + ARP-check 静态IP √ 　 　 　 静态IP+SAM 　 　 　 √ 动态IP 　 √ √ 　 动态IP+SAM 　 √ √ 　 注 接入交换机中开启ARP-check功能时，S2300系列交换机推荐每端口一个用户，其他系列交换机每端口不超过20个用户 各系列交换机支持情况一览 * 环境/方案 Port-Security + ARP-check DHCP Snooping + IP Source Guard +ARP-check DHCP Snooping + DAI Supplicant授权 + ARP-check S2300(接入) √ N/A √ √ S2600(接入) √ √ √ √ S2900(接入) √ √ √ √ S3250(接入) √ √ √ √ 总结 设备安全管理 密码 源地址限制 安全协议 接入安全 保护端口 全局地址绑定 端口安全 防攻击 DHCP Snooping IP Source Guard 防ARP：ARP-check DAI * 参考资料 《RG-S2600系列智能型增强安全接入交换机主打胶片.ppt》 《RG-S2600系列交换机RGOS 10.4(2)版本配置手册.pdf》 《RG-S2100系列交换机1.8(1A2)版本配置手册.pdf》 《FFP使用说明技术白皮书.doc》 * * THANKS！ 培训目标： 8 *