精选优质文档-倾情为你奉上解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法 现在用户真是不省心,自己改个IP地址;私接AP、忘关DHCP,还有的下个小黑客程序,就想在你内网里试试。单靠交换机能管吗? IP与MAC绑定 思科的Catalyst 3560交换机支持DHCP Snooping功能,交 换机会监听DHCP的过程,交换机会生成一个IP和MAC地址对应表。思科的交换机更进一步的支持IP source guard和Dynamic ARP Inspection功能,这两个功能任启一个都可以自动的根据DHCP Snooping监听获得的IP和MAC地址对应表,进行绑定,防止私自更改地址。 Dynamic ARP Inspection功能还有一个好处是可以防范在2层网络的中间人攻击(见图4)。 思科在DHCP Snooping上还做了一些非常有益的扩展功能,比如Catalyst 3560交换机可以限制端口通过的DHCP数据包的速率,粒度是pps,这样可以防止对DHCP服务器的进行地址请求的DoS攻击。另外Catalyst 356
