Форум программистов, компьютерный форум, киберфорум
Наши страницы
Juniper
Войти
Регистрация
Восстановить пароль
 
vertex4
45 / 45 / 11
Регистрация: 01.08.2017
Сообщений: 143
1

[Tutorial] Port Security: DHCP snooping

24.11.2017, 12:36. Просмотров 418. Ответов 0

# Уровень знаний: JNCIS ent
# Port Security #DHCP snooping
Хотя эту тему подняли и не в разделе juniper, рассмотрим вкратце как оно настраивается
DHCP snooping используется для защиты от подмены DHCP-сервера. С его помощью можно указать интерфейс, за которым будет легитимный DHCP сервер, а с каких интерфейсов DHCPOFFER и DHCPACK пакеты будут отбрасываться.
По умолчанию, при активации функции DHCP snooping – все access порты будут блокировать DHCP ответы с них, а trunk порты — разрешать.
Для настройки воспользуемся командами:
Код
set ethernet-switching-options secure-access-port vlan local examine-dhcp
Включили DHCP snooping в vlan (! не для порта)

Код
set ethernet-switching-options secure-access-port interface ge-0/0/8.0 no-dhcp-trusted
set ethernet-switching-options secure-access-port interface ge-0/0/9.0 dhcp-trusted
Настроили порты, первый — запрет DHCP-ответов (за ним не может быть активный DHCP-сервер для этого vlan’а), второй — разрешено

Когда DHCP-snooping включен, информация об аренде адресов сохраняется в DHCP Snooping table, также известной как binding table. Чтобы при перезагрузке эти данные не терялись, можно сохранять их в файл, расположенный локально или на удаленном сервере
Код
set ethernet-switching-options secure-access-port dhcp-snooping-file location /var/tmp/dhcp_snooping
set ethernet-switching-options secure-access-port dhcp-snooping-file write-interval 60
Для просмотра результата можно воспользоваться командой
> show dhcp snooping binding
Можно добавить статическую запись в базу DHCP snooping(полезно, когда у устройства проблемы с arp или arp выключен):
Код
set ethernet-switching-options secure-access-port interface ge-0/0/8.0 static-ip 192.168.1.5 vlan local
set ethernet-switching-options secure-access-port interface ge-0/0/8.0 static-ip 192.168.1.5 mac 00:01:02:03:04:05
0
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
24.11.2017, 12:36
Ответы с готовыми решениями:

DHCP Snooping на с3560 отбрасывает легальные пакеты DHCPDISCOVER
Всем доброго времени суток! Существует такая топология: Около года назад на коммутаторе 3560...

Затруднение с Spring Security tutorial
Добрый день! Буду краток. Пытаюсь осилить Spring. Существует такой замечательный блог...

Security port на транковом порту
Добрый день. Хочу настроить port security на Switch Cisco-3560. С access портами проблем нет, там...

Port-security множественный err-disabled
Имеется достаточно разветвленная сеть в состав которой входят разнообразные коммутаторы Cisco....

резервирование маршрутизатора и port-security на каталисте
Такая задача. Есть два резервируемых маршрутизатора, которые подключаются к локалке через катались...

0
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
24.11.2017, 12:36

Работа с UDP протоколом за роутером (Port Restricted Cone NAT и в добавок Random port )
Посылая сообщение на внешний ip Nat роутера меняет порт.... и при попытки отправить ответ и...

Работа Scilab Serial Port Library (COM port)
Как работает Scilab Serial Port Library ? (может кто то встречал описание подробное, поделитесь...

Replacing invalid security id with default security id for file и в результате черный экран
Добрый вечер. После событий из этой темы...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
1
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru