8-1
8
Configuring Advanced Threat Protection
Contents
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-3
DHCP Snooping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-4
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-4
Enabling DHCP Snooping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-5
Enabling DHCP Snooping on VLANS . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-7
Configuring DHCP Snooping Trusted Ports . . . . . . . . . . . . . . . . . . . . . 8-8
Configuring Authorized Server Addresses . . . . . . . . . . . . . . . . . . . . . . . 8-9
Using DHCP Snooping with Option 82 . . . . . . . . . . . . . . . . . . . . . . . . . . 8-9
Changing the Remote-id from a MAC to an IP Address . . . . . . . 8-11
Disabling the MAC Address Check . . . . . . . . . . . . . . . . . . . . . . . . 8-11
The DHCP Binding Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-12
Operational Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-13
Log Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-14
Dynamic ARP Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-16
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-16
Enabling Dynamic ARP Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-18
Configuring Trusted Ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-18
Adding an IP-to-MAC Binding to the DHCP Database . . . . . . . . . . . . 8-20
Configuring Additional Validation Checks on ARP Packets . . . . . . . 8-21
Verifying the Configuration of Dynamic ARP Protection . . . . . . . . . 8-21
Displaying ARP Packet Statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-22
Monitoring Dynamic ARP Protection . . . . . . . . . . . . . . . . . . . . . . . . . . 8-23
Dynamic IP Lockdown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-23
Protection Against IP Source Address Spoofing . . . . . . . . . . . . . . . . . 8-24
Prerequisite: DHCP Snooping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-24
Filtering IP and MAC Addresses Per-Port and Per-VLAN . . . . . . . . . 8-25
Enabling Dynamic IP Lockdown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-26
