8

Configuring Advanced Threat Protection

Contents

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-3

DHCP Snooping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-4 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-4 Enabling DHCP Snooping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-5 Enabling DHCP Snooping on VLANS . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-7 Configuring DHCP Snooping Trusted Ports . . . . . . . . . . . . . . . . . . . . . 8-8 Configuring Authorized Server Addresses . . . . . . . . . . . . . . . . . . . . . . . 8-9 Using DHCP Snooping with Option 82 . . . . . . . . . . . . . . . . . . . . . . . . . . 8-9

Changing the Remote-id from a MAC to an IP Address . . . . . . . 8-11

Disabling the MAC Address Check . . . . . . . . . . . . . . . . . . . . . . . . 8-11

The DHCP Binding Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-12

Operational Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-13

Log Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-14

Dynamic ARP Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-16 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-16 Enabling Dynamic ARP Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-18 Configuring Trusted Ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-18 Adding an IP-to-MAC Binding to the DHCP Database . . . . . . . . . . . . 8-20 Configuring Additional Validation Checks on ARP Packets . . . . . . . 8-21 Verifying the Configuration of Dynamic ARP Protection . . . . . . . . . 8-21 Displaying ARP Packet Statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-22 Monitoring Dynamic ARP Protection . . . . . . . . . . . . . . . . . . . . . . . . . . 8-23

Dynamic IP Lockdown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-23 Protection Against IP Source Address Spoofing . . . . . . . . . . . . . . . . . 8-24 Prerequisite: DHCP Snooping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-24 Filtering IP and MAC Addresses Per-Port and Per-VLAN . . . . . . . . .8-25 Enabling Dynamic IP Lockdown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-26

8-1