DHCP探测
伪造一个DHCP服务器进行DHCP应答
指定DHCP服务器连接的端口为可信的
R1(config)#interface typemod/num
R1(config-if)#ip dhcp snooping trust
设定不可信端口限制DHCP请求速率
R1(config)#interface typemod/num
R1(config-if)#ip dhcp snooping limit rate rate
源IP地址防护
伪造一个IP源地址进行DDOS之类的攻击
不使用dhcp的主机,配置静态源ip地址绑定
R1(config)#ip source bingding mac-addressvlan vlan-idip-address interface typemod/num
在一个或多个交换机端口启用源IP地址防护
R1(config)#interface typemod/num
R1(config-if)#ip vertify source port-sercurity
动态ARP检查
侦听到ARP请求后发送ARP应答,应答中包括攻击者的MAC地址
在一个或多个客户vlan上启用DAI
R1(config)#ip arp inspection vlan vlan-range
指定与其他交换机相连的端口指定为可信任的
R1(config)#interface typemod/num
R1(config-if)#ip arp inspection trust
静态的配置了IP地址的话
R1(config)#arp access-list acl-name
R1(config-acl)#permit ip host sender-ip machost sender-mac[log]
R1(config-acl)#exit
将ARP访问列表应用于DAI
R1(config)#ip arp inspection filter arp-acl-namevlan vlan-range[static]
启用DAI验证
R1(config)#ip arp inspection validate {[src-mac] [dst-mac] [ip]}
全局启用dhcp探测
R1(config)#ip dhcp snooping
指定要实现探测的vlan
R1(config)#ip dhcp snooping vlan id