神码网络设备防ARP
ARP攻击防范与解决方案
ARP攻击防范与解决方案ARP(Address Resolution Protocol)攻击是一种常见的网络安全威胁,黑客通过ARP欺骗技术,伪造网络设备的MAC地址,从而实施网络攻击,如中间人攻击、会话劫持等。
为了保护网络安全,我们需要采取一系列的防范措施和解决方案来应对ARP攻击。
1. 防范措施:1.1 使用静态ARP表:静态ARP表是一种手动配置的ARP表,将网络设备的IP地址和MAC地址进行绑定。
这样,即使黑客发起ARP欺骗攻击,也无法修改设备的ARP表,从而有效防止ARP攻击。
1.2 使用ARP防火墙:ARP防火墙可以监控网络中的ARP请求和响应,检测和阻止异常的ARP流量。
它可以根据事先设定的策略,过滤和阻断潜在的ARP攻击。
1.3 使用网络入侵检测系统(NIDS):NIDS可以监测网络中的异常流量和攻击行为,包括ARP攻击。
当NIDS检测到ARP攻击时,可以及时发出警报并采取相应的防御措施。
1.4 使用网络隔离技术:将网络划分为多个虚拟局域网(VLAN),并使用网络隔离技术将不同的用户和设备隔离开来。
这样,即使发生ARP攻击,黑客也无法直接访问其他网络。
2. 解决方案:2.1 实施ARP监控和检测:通过实时监控和检测ARP请求和响应,可以及时发现和识别ARP攻击行为。
可以使用专门的ARP监控工具或网络安全设备来实现。
2.2 使用加密通信:通过使用加密协议和加密算法,可以保护通信过程中的ARP请求和响应,防止黑客窃取或篡改网络设备的MAC地址。
2.3 定期更新网络设备的固件和软件:网络设备厂商会不断修复和更新设备的漏洞和安全问题。
定期更新网络设备的固件和软件,可以及时修复已知的ARP攻击漏洞。
2.4 加强员工的网络安全意识教育:通过加强员工的网络安全意识教育,提高他们对网络攻击的认识和防范能力,减少因员工的疏忽而导致的ARP攻击。
2.5 使用网络流量分析工具:网络流量分析工具可以帮助识别异常的ARP流量和攻击行为。
华为(H3C)3600、3900交换机阻止ARP病毒配置
华为(H3C)3600、3900交换机阻止ARP病毒配置如何使用华为(H3C)3600、3900交换机阻止ARP病毒ARP病毒会在LAN中宣告自己是网关,具体做法找到局域网网关的IP,然后发送ARP广播,宣称网关IP对应的MAC地址是自己的网卡MAC地址。
局域网中其他计算机在收到这个广播后,会更新自己的ARP缓存列表,以后的其他计算机原本发往网关的数据包将会发送到中了ARP病毒的计算机。
该中毒计算机将会分析这些数据包,从中获取如邮箱帐号密码、QQ登录帐号密码等敏感信息,并且因中毒计算机要分析这些信息,可能来不及将数据包全部转发到真正的网关去(或许根本就不转发),从而造成其他计算机上网缓慢(甚至中断)。
解决这个问题的方法是阻止中了ARP病毒的计算机发送宣称自己是网关的ARP广播,这样就不能对局域网中的其他计算机造成危害了。
只有智能的交换机才有这样的功能,下面是在H3C的S3900和S3600系列的交换机上实现的例子(本人测试通过):环境描述:局域网IP地址范围:192.168.2.0/24,网关是192.168.2.254交换机:H3C S3952,端口48上接的是网关,定义自定义的ACL:acl number 5000rule 0 deny 0806 ffff 16 c0a802fe ffffffff 32解释:rule 0 :规则序号为0,当规则下发到硬件中执行时,序号不起作用;deny :禁止;0806 ffff :IP数据包中的协议号,0806表示ARP广播。
其中ffff 是掩码,“0806 ffff”的意思是只有目标区域等于0806才算是匹配,如果掩码是fff0,则目标区域是0805、0806、0807等都可以匹配;16 :协议号0806在数据包中的偏移地址。
此偏移量根据不同的交换机型号、不同的交换板型号、不同的配置(VLAN,VPN等)的配置有所不同。
根据网上的资料,可能的值会有:16、20、24、40,并且肯定是偶数。
如何有效的防止ARP攻击
如何有效的防止ARP攻击但问题是,现在真正摆脱ARP问题困扰了吗?从用户那里熟悉到,尽管尝试过各类方法,但这个问题并没有根本解决。
原因就在于,目前很多种ARP防范措施,一是解决措施的防范能力有限,并不是最根本的办法。
二是对网络管理约束很大,不方便不有用,不具备可操作性。
三是某些措施对网络传输的效能有缺失,网速变慢,带宽浪费,也不可取。
本文通过具体分析一下普遍流行的四种防范ARP措施,去熟悉为什么ARP问题始终不能根治。
上篇:四种常见防范ARP措施的分析一、双绑措施双绑是在路由器与终端上都进行IP-MAC绑定的措施,它能够对ARP欺骗的两边,伪造网关与截获数据,都具有约束的作用。
这是从ARP欺骗原理上进行的防范措施,也是最普遍应用的办法。
它应付最普通的ARP欺骗是有效的。
但双绑的缺陷在于3点:1、在终端上进行的静态绑定,很容易被升级的ARP攻击所捣毁,病毒的一个ARP –d命令,就能够使静态绑定完全失效。
2、在路由器上做IP-MAC表的绑定工作,费时费力,是一项繁琐的保护工作。
换个网卡或者更换IP,都需要重新配置路由。
关于流淌性电脑,这个需要随时进行的绑定工作,是网络保护的巨大负担,网管员几乎无法完成。
3、双绑只是让网络的两端电脑与路由不接收有关ARP信息,但是大量的ARP攻击数据还是能发出,还要在内网传输,大幅降低内网传输效率,依然会出现问题。
因此,尽管双绑曾经是ARP防范的基础措施,但由于防范能力有限,管理太烦恼,现在它的效果越来越有限了。
二、ARP个人防火墙在一些杀毒软件中加入了ARP个人防火墙的功能,它是通过在终端电脑上对网关进行绑定,保证不受网络中假网关的影响,从而保护自身数据不被窃取的措施。
ARP防火墙使用范围很广,有很多人以为有了防火墙,ARP攻击就不构成威胁了,事实上完全不是那么回事。
ARP个人防火墙也有很大缺陷:1、它不能保证绑定的网关一定是正确的。
假如一个网络中已经发生了ARP欺骗,有人在伪造网关,那么,ARP个人防火墙上来就会绑定这个错误的网关,这是具有极大风险的。
防范arp欺骗攻击的主要方法有
防范arp欺骗攻击的主要方法有
防范ARP欺骗攻击的主要方法包括:
1. 配置静态ARP表:在网络设备上配置静态ARP表,将每个IP地址与相应的MAC地址绑定起来,防止ARP欺骗攻击者伪造IP地址和MAC地址。
2. 使用ARP防火墙:部署ARP防火墙来监控和检测网络中的ARP流量,及时发现并阻止异常ARP请求和响应。
3. 使用ARP安全协议:使用ARP安全协议,如ARP安全(ARP Sec)、静态ARP检测(Static ARP Inspection)等,对网络中的ARP请求和响应进行验证和保护。
4. 实施网络隔离:将网络划分为多个虚拟局域网(VLAN),并在不同的VLAN 间限制通信,以防止ARP欺骗攻击跨越不同的网络进行。
5. 启用端口安全特性:在交换机上启用端口安全特性,限制每个接口上连接的最大MAC地址数量,防止攻击者通过连接多个设备进行ARP欺骗。
6. 使用加密和身份验证机制:使用加密协议和身份验证机制,如IPsec、SSL、802.1X等,在网络中传输的数据进行加密和身份验证,防止ARP欺骗攻击者窃取或篡改数据。
7. 监控和检测:定期监控和检测网络中的ARP流量和异常行为,及时发现并采取相应的应对措施。
8. 进行安全教育和培训:加强对用户和员工的安全意识培养,教育他们识别和避免ARP欺骗攻击,并提供相关的安全操作指导和培训。
ARP攻击防范与解决方案
ARP攻击防范与解决方案一、背景介绍ARP(Address Resolution Protocol)是用于在局域网中将IP地址转换为物理MAC地址的协议。
然而,ARP协议的设计缺陷使得攻击者可以通过ARP欺骗攻击(ARP Spoofing)来进行网络攻击。
ARP攻击会导致网络中的主机无法正常通信,甚至造成敏感信息泄露和网络瘫痪。
因此,为了保护网络安全,我们需要采取一系列的防范措施和解决方案来应对ARP攻击。
二、防范措施1. 使用静态ARP表静态ARP表是一种手动配置的ARP表,将IP地址与MAC地址进行绑定,使得ARP欺骗攻击者无法篡改ARP表。
管理员可以在网络设备上手动添加静态ARP 表项,确保网络中的主机只能与正确的MAC地址通信。
2. 使用ARP防火墙ARP防火墙可以监控网络中的ARP请求和响应,并根据事先设定的策略进行过滤。
当检测到ARP欺骗攻击时,ARP防火墙可以阻止异常的ARP请求和响应,保护网络中的主机免受攻击。
3. 使用网络入侵检测系统(NIDS)网络入侵检测系统可以监测网络流量中的异常ARP活动,如大量的ARP请求、多个主机使用相同的MAC地址等。
一旦检测到ARP攻击,NIDS可以及时发出警报并采取相应的防御措施,阻止攻击者进一步侵入网络。
4. 使用虚拟局域网(VLAN)虚拟局域网可以将网络划分为多个逻辑上的子网,不同子网之间的通信需要经过路由器进行转发。
通过使用VLAN,可以限制ARP欺骗攻击者的攻击范围,提高网络的安全性。
5. 使用加密通信协议使用加密通信协议(如SSL、IPsec等)可以加密通信过程中的数据,防止敏感信息在网络中被攻击者窃取。
即使遭受ARP攻击,攻击者也无法获取到加密的数据,保护网络中的通信安全。
三、解决方案1. 及时更新操作系统和应用程序操作系统和应用程序的漏洞是攻击者进行ARP攻击的入口之一。
及时更新操作系统和应用程序,安装最新的安全补丁,可以修复已知的漏洞,减少被攻击的风险。
arp防御方法
arp防御方法
ARP防御方法是用于防止ARP欺骗攻击的技术手段。
以下是一些常见的ARP 防御方法:
1. 静态ARP表:在网络设备上手动添加静态ARP表项,将IP地址与MAC地址进行绑定,可以防止ARP欺骗攻击。
2. 动态ARP检测:使用动态ARP检测工具,实时监测网络中ARP请求和响应的情况,一旦发现异常,及时进行报警或拦截。
3. 网络流量监测:监测网络流量中的ARP请求和响应数据包,检测是否存在异常ARP活动,例如检测同一IP地址有多个MAC地址绑定等。
4. 交换机配置:配置交换机端口的安全特性,限制一个端口只能学习到一个MAC地址,如果接收到多个不同的MAC地址,则自动禁用该端口。
5. DHCP Snooping:通过开启DHCP Snooping功能,在网络中只允许经过认证的DHCP服务器提供IP地址,避免被ARP欺骗攻击者伪造的DHCP服务器欺骗。
6. 隔离网络:将重要的网络设备、服务器等放在受信任的网络中,与公共网络隔离,减少受到ARP欺骗攻击的风险。
7. 使用虚拟专用网络(VPN):在公共网络上使用VPN隧道加密通信,可以有效防止ARP攻击者获取网络通信数据。
8. 安全协议:如使用802.1X认证、IPSec协议等,可以提供身份验证和数据加密,增强网络安全性,防止ARP欺骗攻击。
9. 安装防火墙:防火墙可以对网络流量进行监控和过滤,有效防止恶意的ARP 请求和响应进入网络。
10. 定期更新防病毒软件和操作系统:保持操作系统和防病毒软件的最新版本,及时修补漏洞和更新安全补丁,减少受到ARP欺骗攻击的风险。
网吧路由器防ARP地址欺骗功能
网吧路由器防ARP地址欺骗功能网吧路由器有很多值得学习的地方,这里我们主要介绍网吧路由器防ARP地址欺骗功能。
以前有一个帖子,为了搞跨某个网站,只要有大量的人去ping这个网站,这个网站就会跨了,这个就是所谓的拒绝服务的攻击,用大量的无用的数据请求,让他无暇顾及正常的网络请求。
网络上的黑客在发起攻击前,都要对网络上的各个IP地址进行扫描,其中一个常见的扫描方法就是ping,如果有应答,则说明这个ip地址是活动的,就是可以攻击的,这样就会暴露了目标,同时如果在外部也有大量的报文对RG-NBR系列路由器发起Ping请求,也会把网吧的RG-NBR系列路由器拖跨掉。
现在多数网吧路由器都设计了一个W AN口防止ping 的功能,可以简单方便的开启,所有外面过来的ping的数据报文请求,都装聋作哑,这样既不会暴露自己的目标,同时对于外部的ping攻击也是一个防范。
防ARP地址欺骗功能大家都知道,内部PC要上网,则要设置PC的IP地址,还有网关地址,这里的网关地址就是NBR路由器的内部网接口IP地址,内部PC是如何访问外部网络呢?就是把访问外部网的报文发送给NBR的内部网,由NBR路由器进行NAT地址转发后,再把报文发送到外部网络上,同时又把外部回来的报文,去查询路由器内部的NAT链接,回送给相关的内部PC,完成一次网络的访问。
在网络上,存在两个地址,一个是IP地址,一个是MAC地址,MAC地址就是网络物理地址,内部PC要把报文发送到网关上,首先根据网关的IP地址,通过ARP去查询NBR的MAC地址,然后把报文发送到该MAC地址上,MAC地址是物理层的地址,所有报文要发送,最终都是发送到相关的MAC地址上的。
所以在每台PC上,都有ARP的对应关系,就是IP地址和MAC地址的对应表,这些对应关系就是通过ARP和RARP报文进行更新的。
目前在网络上有一种病毒,会发送假冒的ARP报文,比如发送网关IP地址的ARP报文,把网关的IP对应到自己的MAC上,或者一个不存在的MAC地址上去,同时把这假冒的ARP报文在网络中广播,所有的内部PC就会更新了这个IP和MAC的对应表,下次上网的时候,就会把本来发送给网关的MAC的报文,发送到一个不存在或者错误的MAC地址上去,这样就会造成断线了。
小草网管如何防止ARP欺骗、防范ARP攻击、ARP病毒专杀工具
二、防范电脑ARP攻击、防止局域网ARP欺骗的措施
1. 建立DHCP服务器(建议建在网关上,因为DHCP不占用多少CPU,而且ARP欺骗攻击一般总是先攻击网关,我们就是要让他先攻击网关,因为网关这里有监控程序的,网关地址建议选择192.168.10.2 ,把192.168.10.1留空,如果犯罪程序愚蠢的话让他去攻击空地址吧),另外所有客户机的IP地址及其相关主机信息,只能由网关这里取得,网关这里开通DHCP服务,但是要给每个网卡,绑定固定唯一IP地址。一定要保持网内的机器IP/MAC一一对应的关系。这样客户机虽然是DHCP取地址,但每次开机的IP地址都是一样的。
C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC
正常情况下 C:\arp -a
Interface: 192.168.10.1 on Interface 0x1000003
Internet Address Physical Address Type
同时,小草网管软件还集成了强大的局域网上网控制功能、网络限制功能:禁止局域网P2P软件、过滤P2P视频、限制网络聊天、控制上网带宽、限制网络流量、监控网页访问、屏蔽视频网站、禁止网络视频、限制电脑游戏、禁止电脑代理上网等功能。欢迎去官网上了解!
小草网管软件如何防止ARP欺骗、防范ARP攻击、ARP病毒专杀工具
一、什么是ARP攻击?
当前局域网ARP攻击现象比较普遍,ARP攻击的危害性也人所共知:轻者导致局域网网速变慢、电脑上网速度慢,重则可以导致局域网大面积断网和掉线现象。由于ARP欺骗攻击是基于TCP通讯原理。因此,有效防范ARP攻击还必须知道其具体的实现原理,从而采取针对性的防范局域网ARP攻击的举措。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
齐头并进堵源治本高校校园网ARP攻击防御解决方案DIGTIAL CHINA DIGITAL CAMPUS神州数码网络有限公司2008-07前言自2006年以来,基于病毒的arp攻击愈演愈烈,几乎所有的校园网都有遭遇过。
地址转换协议ARP(Address Resolution Protocol)是个链路层协议,它工作在OSI参考模型的第二层即数据链路层,与下层物理层之间通过硬件接口进行联系,同时为上层网络层提供服务。
ARP攻击原理虽然简单,易于分析,但是网络攻击往往是越简单越易于散布,造成的危害越大。
对于网络协议,可以说只要没有验证机制,那么就可以存在欺骗攻击,可以被非法利用。
下面我们介绍几种常见ARP攻击典型的症状:¾上网的时候经常会弹出一些广告,有弹出窗口形式的,也有嵌入网页形式的。
下载的软件不是原本要下载的,而是其它非法程序。
¾网关设备ARP表项存在大量虚假信息,上网时断时续;网页打开速度让使用者无法接受。
¾终端不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。
对于ARP攻击,可以简单分为两类:一、ARP欺骗攻击,又分为ARP仿冒网关攻击和ARP仿冒主机攻击。
二、ARP泛洪(Flood)攻击,也可以称为ARP扫描攻击。
对于这两类攻击,攻击程序都是通过构造非法的ARP报文,修改报文中的源IP地址与(或)源MAC地址,不同之处在于前者用自己的MAC地址进行欺骗,后者则大量发送虚假的ARP报文,拥塞网络。
主机A主机D主机B主机C图一 ARP仿冒网关攻击示例神州数码网络秉承“IT服务随需而动”的理念,对于困扰高教各位老师已久的ARP 攻击问题,结合各个学校网络现状,推出业内最全、适用面最广、最彻底的ARP整体解决方案。
神州数码网络公司从客户端程序、接入交换机、汇聚交换机,最后到网关设备,都研发了ARP攻击防护功能,高校老师可以通过根据自己学校的网络特点,选取相关的网络设备和方案进行实施。
一、接入交换机篇接入交换机是最接近用户侧的网络设备,也最适于通过它进行相关网络攻击防护。
通过对接入交换机的适当设置,我们可以将很多网络威胁隔离在交换机的每端口内,而不至于对整网产生危害。
1、AM功能AM(access management)又名访问管理,它利用收到数据报文的信息(源IP 地址或者源IP+源MAC)与配置硬件地址池(AM pool)相比较,如果找到则转发,否则丢弃。
AM pool 是一个地址列表,每一个地址表项对应于一个用户。
每一个地址表项包括了地址信息及其对应的端口。
地址信息可以有两种:¾ IP 地址(ip-pool),指定该端口上用户的源IP 地址信息。
¾ MAC-IP 地址(mac-ip pool),指定该端口上用户的源MAC 地址和源IP 地址信息。
当AM使能的时候,AM模块会拒绝所有的IP报文通过(只允许IP地址池内的成员源地址通过)。
我们可以在交换机端口创建一个MAC+IP 地址绑定,放到地址池中。
当端口下联主机发送的IP报文(包含ARP报文)中,所含的源IP+源MAC不符合地址池中的绑定关系,此报文就将被丢弃。
配置命令示例如下:举例:使能AM 并允许交接口4 上源IP为192.1.1.2,源MAC是00-01-10-22-33-10 的用户通过。
Switch(Config)#am enableSwitch(Config)#interface Ethernet 0/0/4Switch(Config-Ethernet0/0/4)#am portSwitch(Config-Ethernet0/0/4)#am mac-ip-pool 00-01-10-22-33-10 192.1.1.21)功能优点配置简单,除了可以防御ARP攻击,还可以防御IP扫描等攻击。
适用于信息点不多、规模不大的静态地址环境下。
2)功能缺点1、需要占用交换机ACL资源;2、网络管理员配置量大,终端移动性差。
2、ARP Guard功能基本原理就是利用交换机的过滤表项,检测从端口输入的所有ARP 报文,如果ARP 报文的源IP 地址是受到保护的IP 地址,就直接丢弃报文,不再转发。
举例:在端口Ethernet0/0/1 启动配置ARP Guard 地址192.168.1.1(设为网关地址)。
Switch(Config)#interface ethernet0/0/1Switch(Config- Ethernet 0/0/1)# arp-guard ip 192.168.1.1STOP主机B主机D主机C主机A端口Ethernet0/0/1端口发出的仿冒网关ARP报文都会被丢弃,所以ARP Guard 功能常用于保护网关不被攻击。
1)功能优点配置简单,适用于ARP仿冒网关攻击防护快速部署。
2)功能缺点ARP Guard需要占用芯片FFP 表项资源,交换机每端口配置数量有限。
3、DHCP Snooping 功能实现原理:接入层交换机监控用户动态申请IP 地址的全过程,记录用户的IP 、MAC 和端口信息,并且在接入交换机上做多元素绑定,从而在根本上阻断非法ARP 报文的传播。
下图为交换机DHCP Snooping 功能原理说明:主机D 主机C 主机B 主机A 1)主机A 向DHCP Server 发起DHCP 请求,交换机记录下发起请求的PORT 和MAC 。
2)DHCP Server 返回分配给用户的IP 地址,交换机上记录下DHCP 返回的IP 地址。
3)交换机根据DHCP snooping 功能记录下来的信息,在相应的交换机端口上绑定合法的IP 、MAC 信息。
举例:如上图在交换机在端口Ethernet0/0/2 启动DHCP Snooping 功能,并进行ARP 绑定。
Switch(Config)#ip dhcp snooping enable Switch(Config)#ip dhcp snooping binding enable Switch(Config)#interface ethernet 0/0/1Switch(Config-Ethernet0/0/1)#ip dhcp snooping trust //DHCP 服务器连接端口需设置为TrustSwitch(Config-Ethernet0/0/1)#interface ethernet 0/0/2 Switch(Config-Ethernet0/0/2)#ip dhcp snooping binding arp Switch(Config-Ethernet0/0/2)#exit1)功能优点被动侦听,自动绑定,对信息点数量没有要求,适用于IP 地址动态分配环境下广泛实施。
2)功能缺点IP 地址静态环境下,需要手工添加绑定关系,配置量较大。
4、端口ARP 限速功能神州数码系列交换机防ARP 扫描的整体思路是若发现网段内存在具有ARP 扫描特征的主机或端口,将切断攻击源头,保障网络的安全。
有两种方式来防ARP 扫描:基于端口和基于IP 。
基于端口的ARP 扫描会计算一段时间内从某个端口接收到的ARP 报文的数量,若超过了预先设定的阈值,则会down 掉此端口。
基于IP 的ARP 扫描则计算一段时间内从网段内某IP 收到的ARP 报文的数量,若超过了预先设置的阈值,则禁止来自此IP 的任何流量,而不是down 与此IP 相连的端口。
此两种防ARP 扫描功能可以同时启用。
端口或IP 被禁掉后,可以通过自动恢复功能自动恢复其状态。
主机D 主机C 主机B S-ARP举例:如上图在交换机的端口启动ARP 报文限速功能。
Switch(Config)#anti-arpscan enable //使能Anti-arpscanSwitch(Config)#anti-arpscan port-based threshold 10 //设置每个端口每秒的ARP 报文上限Switch(Config)#anti-arpscan ip-based threshold 10 //设置每个IP每秒的ARP报文上限Switch(Config)#anti-arpscan recovery enable //开启防网段扫描自动恢复功能Switch(Config)#anti-arpscan recovery time 90//设置自动恢复的时间90秒1)功能优点全局使能,无须在端口模式下配置,配置简单。
2)功能缺点不能杜绝虚假ARP报文,只是适用于对ARP扫描或者flood攻击防御,建议和交换机其它功能一起使用。
二、汇聚交换机篇校园网内信息点众多,部署的接入交换机的品牌杂、型号多已经是不争的事实。
在很多高校,不可网管、不支持ACL的交换机数量也不在少数,所以保护学校现有投资、不升级接入交换机的前提,全网防御ARP病毒攻击,成为了神州数码网络的关注点。
下面我们介绍一种通过神州数码汇聚交换机实现全网防御ARP攻击的解决方案。
1、端口隔离功能介绍端口隔离是一个基于端口的独立功能,作用于端口和端口之间,隔离相互之间的流量,利用端口隔离的特性,可以实现vlan内部的端口隔离,从而节省vlan资源,增加网络的安全性,现在大多数接入交换机都具备此功能。
各个交换机的拓扑和配置如上图所示,要求在交换机1 上配置端口隔离后,交换机1的e0/0/1 和e0/0/2 不通,但e0/0/1 和e0/0/2 都可以和上联口e0/0/25 通。
即:所有下行端口之间不能互通,但下行端口可以和指定的上行端口互通。
2、Local ARP Proxy功能介绍Local ARP proxy:本地arp代理功能。
是指在一个vlan内,通过使用一台三层交换机(一般为汇聚交换机),来作为指定的设备对另一设备作出ARP请求的应答,实现限制arp报文在同一vlan内的转发,从而引导数据流量通过交换机进行三层转发。
该功能通常需要和其他的安全功能配合使用,例如在汇聚交换机上配置local arp proxy,而在下连的二层交换机上配置端口隔离功能,这样将会引导所有的IP流量通过汇聚交换机上进行三层转发,二层交换机下联主机不能相互ARP欺骗。
3、防御ARP攻击原理如下图所示,端口Eth0/0/2和Eth0/0/3在Vlan100内,接入交换机开启端口隔离功能,主机A和主机B二层流量不可达。
网关地址为192.168.1.1,汇聚交换机启用Local ARP proxy 功能。
192.168.1.1Eth0/0/1Eth0/0/2Eth0/0/31.接入交换机启用端口隔离功能;汇聚交换机启用ARP Local Proxy功能和端口ARP限速功能;2.动态IP环境中,汇聚交换机通过DHCP Snooping检测ARP;静态IP环境中,可以使用神州数码专有的DHCP Snooping绑定工具,对汇聚交换机ARP表项进行初始化(静态地址环境下,还需要结合关闭交换机arp自动更新或者自动学习,可参见神州数码交换机手册);3.由于主机A没有主机B的MAC地址,因此主机A发送ARP Request并广播出去;4.在启动ARP Local Proxy的情况下,交换机向主机A发送ARP Reply报文(填充自己的MAC地址);5.主机A收到该ARP Reply之后,创建ARP表项,发送IP报文,封装的以太网帧头的目的MAC为交换机的MAC;6.当交换机收到该IP报文之后,交换机查询路由表(创建路由缓存),并下发硬件表项;7.当交换机有主机B的ARP表项情况下,直接封装以太网头部并发送报文(目的MAC为主机B);如果交换机没有主机B的ARP表项,那么会请求主机B的ARP,然后发送IP报文。