整体拓扑背景：生产环境中，最基础的网络安全配置就是DHCP动态IP获取的问题，由于个人家用路由器价格便宜，很多用户为了自身上网方便，在办公室的内网接入线路桥接一个家用路由，但是这种路由器的内网口配置自动开启DHCP功能，如果将有线网接入线路，接到了家用路由设备的内网口（LAN)口，则会

二层安全： 1、MAClayerattacks2、VLANattacks3、spoofattacks4、attacksonswitchdevices 一、MAClayerattacks攻击方法：1、MAC地址flooding攻击     2、MAC地址的欺骗攻击解决方案：  1、基于源MAC地址允许流量：端口安全  2、基于源MAC地址限

dhcp欺骗dhcpsnooping原理：一启用后，可以将交换机的端口分为trusted接口和untrusted接口，默认在交换机上启用后，所有接口变为untrusted接口，需要手工设置trunsted接口。对于untrusted接口，只能收到dhcp请求消息，drop掉dhcp的相应消息，并且也不会向这个接口发送出dhcp的请求消息。对于

ssh其实就是加密的telnet。clissh配置步骤tep1:配置主机名hostnamesshrouterstep2:配置域名ipdomiannameyeslab.comstep3:产生rsa密钥对(建议1024位长度)cryptokeygeneratersamodulus1024step4:创建本地用户名和密码(级别可选)usernameadminprivilege15pa

switchsecurity（交换安全）maclayerattacks(mac地址攻击）mac地址泛红变换mac让交换机不停学习，占满mac地址表，其他pc发送报文就进行泛红。portsecurity(端口安全）1未授权mac地址2mac地址个数限制（默认1个）3采取措施switch(config-if)#switchportport-security[maximumvalue]

Catalyst交换机上启用DHCPSnooping以及DAI（DynamicARPInspection）功能，目的是防止出现DHCP假冒以及ARP欺骗攻击。其中，DAI功能的实现需要借助DHCPSnooping建立的IP与MAC地址的绑定表。启用该功能后，发现交换机的某些端口每天不定时的发出大量ARP检测告警，告警发生时，相关联的PC无法

chapter7：snoopingcoherence协议简介窥探(Snooping)缓存一致性协议是最早被广泛使用的协议并被沿用至今。它有较短的一致性传输延时以及相对于目录(directory)协议更简单的设计。窥探协议通过要求对一个缓存行的所有要求按顺序到达，实现了所有分布式缓存控制器都能正确更新共同

DHCPRelayDHCPRelay即DHCP中继，它是为解决DHCP服务器和DHCP客户端不在同一个广播域而提出的，提供了对DHCP广播报文的中继转发功能，能够把DHCP客户端的广播报文“透明地”传送到其它广播域的DHCP服务器上，同样也能够把DHCP服务器端的应答报文“透明地”传送到其它广播域的DHCP客户

HY5700-854XG24GT-M是汉源高科（北京）科技有限公司推出的一款万兆三层工业以太网交换机，产品配备4个万兆SFP+光口、24个10/100/1000MBase-T自适应电口，具备先进的硬件处理能力和丰富的业务特性。支持IPv4/IPv6硬件双栈及线速转发，使客户能够从容应对即将带来的IPv6时代，其提供高容量的交

HY5700-854XG16GX8GT-M是汉源高科（北京）科技有限公司推出的一款万兆三层工业以太网交换机，产品配备4个万兆SFP+光口、16个千兆SFP光口和8个10/100/1000MBase-T自适应电口，具备先进的硬件处理能力和丰富的业务特性。支持IPv4/IPv6硬件双栈及线速转发，使客户能够从容应对即将带来的IPv6时

DHCP在企业中的安全部署dhcpserver:dhcpenable 全局开启DHCP服务g0/0/0:接口下配置DHCP功能ipaddress10.1.1.1/24dhcpselectinterfacedhcpserverdns-list8.8.8.8  DNS地址dhcpserverstatic-bindip-address10.1.1.111mac-address5489-454d-3345静态绑定DHCP地

客户网络环境是使用DHCP来自动分配地址的。但是有的人私接小路由器wifi。导致小路由器的dhcp地址分发到了网络中，引起了局部的网络中断问题。解决方法：开启DHCPsnooping功能。原理：通过全局先开启dhcpsnoopingenable功能，再在普通接口或者vlan下再次启用dhcpsnoopingenable。

攻击原理DHCPServer是根据DHCP报文中的CHADDR（clientHardwareaddress）字段来识别确认不同的客户端，如果攻击者持续发送REQUEST报文不断修改CHADDR字段申请IP地址，将会导致DHCPServer的地址池全部耗尽，从而导致无法正常为用户提供IP地址。解决办法DHCPSnooping技术支持在端口下对DHC

DHCPSnooping实验目的：PC从DHCP服务器获取地址，SW1开启snooping功能。1.在SW1上设置VLAN10分配给与客户端连接的端口，与中继连接的端口做trunk。SW1(config)#vlan10SW1(config)#inte0/0SW1(config-if)#switchportmodeaccessSW1(config-if)#switchportaccessvlan10SW1(config)

局域网中一般用核心交换机做DHCP，有时某个员工私自接入wifi并且把网线插到lan口，wifi自带dhcp功能，导致内网混乱，dhcpsnooping主要用来限制这些非法dhcp。1.在有DHCP服务的交换机上配置如下：dhcpsnoopingenableipv4  #使能全局DHCPSnooping功能vlan10       

目前DHCP协议（RFC2131）在应用的过程中遇到很多安全方面的问题，网络中存在一些针对DHCP的攻击，如DHCPServer仿冒者攻击、DHCPServer的拒绝服务攻击、仿冒DHCP报文攻击等。为了

华为交换机：配置IPSG防止主机私自更改IP地址示例（DHCPSnooping动态绑定），如果手动配置ip就上不了网华为交换机：配置IPSG防止主机私自更改IP地址示例（DHCPSnooping动态绑定），如果手

AR1是合法路由，AR2是非法路由dhcpendhcpsnoopingen//全局开启dhcpsnoopingport-groupgroup-membere0/0/1toe0/0/12dhcpsnoopingen//配置1-12端口开启d

igmpSnooping，是InternetGroupManagementProtocolSnooping（互联网组管理协议窥探）的简称，它是运行在二层设备上的组播约束的机制，用于管理和控制组播组。IGMPSnooping，就

DHCPSnooping是DHCP的一种安全特性，主要应用在交换机上，作用是屏蔽接入网络中的非法的DHCP服务器。即开启DHCPSnooping功能后，网络中的客户端只有从管理员指定的DH

近期有个项目，负责为某单位建设态势感知平台，项目中除基本态势感知功能外还有3个定制需求，今天就针对其中的一个进行分享~需求：检测接入到网络当中的非法DHCPserver（这里的DHCP