4401| 45
|
[路由交换RS] 锐捷DHCP嗅探文档-DHCP-Snooping技术白皮书 |
思科DHCP嗅探文档-DHCP-Snooping技术白皮书
节选: 摘要 1 关键词 1 1 缩略语 4 2技术应用背景 4 3 DHCP-Snooping技术分析 5 3.1 DHCP技术简介 5 3.2 DHCP-Snooping技术简介 6 3.3非法DHCP报文拦截 7 3.3.1屏蔽非法DHCP 服务器 7 3.3.2过滤非法报文 8 3.4 Option 82 8 3.5提供安全过滤数据库 8 3.5.1 DHCP-Snooping数据库 8 3.5.2提供IP报文硬件过滤数据库 9 3.5.3提供ARP报文过滤数据库 9 4 DAI技术分析 10 4.1了解ARP 10 4.2 DAI技术简介 11 4.3 ARP报文限速 11 4.4信任端口 & 非信任端口 11 4.5 ARP报文检测步骤 12 5 应用方案 13 5.1应用部署 13 5.2应用拓扑 13 5.2 DHCP-Snooping + DAI 14 5.4 DHCP-Snooping + ARP-Check 16 5.5友商对比 17 DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)采用客户端和服务器的运行机制,是一种简化主机IP地址配置管理的TCP/IP标准。该标准允许DHCP服务器向客户端提供IP地址和其他相关配置信息。在网络中,通过启用DHCP服务可以让DHCP客户端在每次启动后自动获取IP地址和相关配置参数,减少了配置管理。在计算机数量众多并且划分多个子网的网络中,DHCP服务的优势更加明显,它避免了因手工设置IP地址及子网掩码所产生的错误;也避免了把一个IP地址分配给多台主机所造成的地址冲突,可以大大缩短网络管理员在主机地址配置上所耗费的时间,降低了管理员的设置负担。 但是,随着DHCP服务的广泛应用,也给网络管理带来一些新的问题,具体表现在: 由于DHCP报文在客户端和服务器的交互过程中并没有认证机制,如果网络中存在非法DHCP服务器,管理员将无法保证客户端从管理员指定的DHCP服务器获取合法地址,客户机有可能从非法DHCP服务器获得IP地址等配置信息,导致网络地址分配混乱。 在部署DHCP服务的子网中,如果出现用户私自设置IP地址,将有可能造成网络地址冲突,影响IP地址的正常分配。 通过以上分析,必须采取有效措施来应对上述两个问题。我司推出的支持DHCP-Snooping功能的设备具有屏蔽非法DHCP 服务器、过滤非法DHCP报文和防止用户私设IP的功能,可以有效解决非法DHCP服务器扰乱用户网络和防止私设IP用户使用网络。 网络管理的另外一大挑战是防止ARP欺骗。当前网络中,ARP欺骗报文肆意横行,而ARP协议本身无法辨别这些报文的真实性,因此网络中的主机和设备容易被欺骗,从而导致用户无法正常使用网络。ARP欺骗造成的危害较大,目前业界都在高度关注。我司针对这一问题推出的DHCP-Snooping + DAI(Dynamic ARP Inspection, 动态ARP检测),DHCP-Snooping + ARP Check解决方案可以有效拦截非法的ARP报文,抵御ARP欺骗,保证网络的畅通。 回复下载:
购买主题
本主题需向作者支付 3 金币 才能浏览
| |
相关帖子
|
|
发表于 2014-1-17 19:26:39
|
显示全部楼层
| ||
发表于 2014-3-20 01:18:54
|
显示全部楼层
| ||
发表于 2014-4-2 11:57:31
|
显示全部楼层
| ||
发表于 2014-11-4 09:12:23
|
显示全部楼层
| ||
发表于 2014-11-4 23:52:03
|
显示全部楼层
| ||
发表于 2014-11-27 14:30:47
|
显示全部楼层
| ||
发表于 2014-12-4 10:28:54
|
显示全部楼层
| ||
发表于 2015-1-4 09:25:13
|
显示全部楼层
| ||