8-1
8
Configuring Advanced Threat Protection
Contents
Introduction
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-3
DHCP Snooping
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-4
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-4
Enabling DHCP Snooping
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-5
Enabling DHCP Snooping on VLANS . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-7
Configuring DHCP Snooping Trusted Ports
. . . . . . . . . . . . . . . . . . . . . 8-8
Configuring Authorized Server Addresses . . . . . . . . . . . . . . . . . . . . . . . 8-9
Using DHCP Snooping with Option 82 . . . . . . . . . . . . . . . . . . . . . . . . . . 8-9
Changing the Remote-id from a MAC to an IP Address
. . . . . . . 8-11
Disabling the MAC Address Check
. . . . . . . . . . . . . . . . . . . . . . . . 8-11
The DHCP Binding Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-12
Operational Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-13
Log Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-14
Dynamic ARP Protection
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-16
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-16
Enabling Dynamic ARP Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-18
Configuring Trusted Ports
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-18
Adding an IP-to-MAC Binding to the DHCP Database
. . . . . . . . . . . . 8-20
Configuring Additional Validation Checks on ARP Packets
. . . . . . . 8-21
Verifying the Configuration of Dynamic ARP Protection
. . . . . . . . . 8-21
Displaying ARP Packet Statistics
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-22
Monitoring Dynamic ARP Protection . . . . . . . . . . . . . . . . . . . . . . . . . . 8-23
Dynamic IP Lockdown
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-23
Protection Against IP Source Address Spoofing . . . . . . . . . . . . . . . . . 8-24
Prerequisite: DHCP Snooping
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-24
Filtering IP and MAC Addresses Per-Port and Per-VLAN
. . . . . . . . . 8-25
Enabling Dynamic IP Lockdown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-26