應用場景
無線客戶端流動性很大和不確定,比如在外來人員比較多的地方:廣場、大廳、會議室和接待室等等。使用該方案可以有效地避免因為無線端出現私設IP地址導致地址沖突或者客戶端中ARP病毒發起ARP攻擊的情況。
優點:增加無線的安全性,防止無線客戶端私設IP地址,防止無線網絡因為arp攻擊而癱瘓。
缺點:對無線設備的性能要求高,需要消耗無線設備的運行資源,需要增加額外的配置
功能簡介:
在無線網絡中,由於接入無線網絡用戶的多樣性及不確定性,使得在無線端極有可能出現私設IP地址或者客戶端中ARP病毒發起ARP攻擊的情況,在無線設備上部署防ARP攻擊功能,可以有效解決這些問題。
一、組網需求
防止無線用戶私自配置IP地址導致IP地址沖突或者使用ARP攻擊軟件導致網絡癱瘓
二、組網拓撲
三、配置要點
1、AC-1開啟dhcp snooping並且配置信任端口
2、配置ARP防護功能
3、清除arp及 proxy_arp表
四、配置步驟
1、AC-1開啟dhcp snooping並且配置信任端口
AC-1(config)#ip dhcp snooping ----->全局啟用dhcp snooping
AC-1(config)#interface gigabitEthernet 0/1
AC-1(config-if-GigabitEthernet 0/1)#ip dhcp snooping trust ----->上聯接口配置為信任端口
2、配置ARP防護功能
1)未開啟Web認證功能時
AC-1(config)#wlansec 1
AC-1(config-wlansec)#ip verify source port-security ----->開啟IP防護功能
AC-1(config-wlansec)#arp-check ----->開啟ARP檢測功能
2)開啟Web認證功能時
AC-1(config)#web-auth dhcp-check ----->開啟web認證下的dhcp檢測功能(IP防護功能類似)
AC-1(config)#wlansec 1
AC-1(config-wlansec)#arp-check ----->ARP檢測功能
3、清除arp及 proxy_arp表
AC-1#clear arp-cache
AC-1#clear proxy_arp
五、注意事項
1. 打開ARP Check檢測功能可能會使相關安全應用的策略數/用戶數減少。
2. 無法在鏡像的目的口上配置arp-check功能。
3. 無法在DHCP Snooping信任端口上配置ARP Check功能。
4. 無法在全局IP+MAC的例外口配置ARP Check功能。
六、功能驗證
1、無線用戶連接到無線網絡通過dhcp獲取到IP地址被添加到dhcp snooping數據庫內。
Ruijie#show ip dhcp snooping binding
Total number of bindings: 1
NO. MACADDRESS IPADDRESS LEASE(SEC) TYPE VLAN INTERFACE
----- ----------------- ------------ ------------ ---------------- ------ --------------
1 0811.9692.244C 172.16.1.4 86394 DHCP-Snooping 10 WLAN 1
2、手動配置無線網卡IP地址,無法ping通網關。
3、將無線網卡IP靜態配置為其他正常用戶的IP地址,其他正常用戶不會提示地址沖突。