锐捷全网防arp欺骗配置案例
锐捷交换机常用设置
内网交换机端口也可以限速.但那没有意义.连内网的速率都降下来了.例:S2126G(config)#int f 0/1S2126G(config-if)#rate-control 1这个端口下面不管接PC还是及连交换机,都是1M的流量了.内网规划都是千兆,万兆,十兆的带宽,都不会去限速的.只有外网的带宽是有限的.所以要做只在出口上做限速.防网关ARP欺骗配置anti-arp-spoofing ip 10.10.10.254命令的原理是,交换机会检测这个接口的arp报文,源地址是我们配置的地址这个ip地址10.10.10.254就会丢弃这个报文。
tracert 命令跟踪 TCP/IP 数据包从该计算机到其他远程计算机所采用的路径。
Switch#show versionSwitch#show mac-address-tableSwitch#show arp第一步:开启log服务器功能,并制定log服务器的地址ruijie(config)#logging on ---开启log功能ruijie(config)#logging server 192.168.1.1 ---指定log服务器的地址,可以填写多个第二步:指定snmp-server地址,并制定发送trap消息的源地址(可选)ruijie(config)#service timestamps log datetime ---发送记录事件的时候包含时间标记ruijie(config)#service timestamps debug datetime ---syslog信息包含时间戳第三步:设置设备的时间(或者设置SNTP服务器)ruijie#clock set 8:45:00 10 13 2009 ---设置设备当前时间为2009-10-13ruijie#show clock ---查看当前设备的系统时间08:45:06 CHN-BJ Tue 2009-10-13第四步:指定发送的时间戳:ruijie(config)#logging facility local7---定义facility级别,缺省为local7,可以设置从local0到local7ruijie(config)#logging trap warnings ---定义severity级别缺省为infor级别第五步:保存设备配置ruijie#write。
实训三-ARP攻防
实验三 ARP攻防实验名称:ARP攻防。
实验目的:理解ARP协议,并学会判断与防范ARP攻击。
技术原理:网络执法官限制目标主机与网关的通信,是通过ARP攻击来实现的。
在三层设备上对目标主机IP与MAC地址进行绑定,同时在目标主机上也对网关IP及MAC地址进行绑定,可以防止受到ARP的欺骗性攻击。
实现功能:目标主机防范ARP攻击。
实验设备:RSR20一台,S2126G一台,PC二台,网络执法官软件一套。
实验拓朴:实验步骤:1.配置路由器RSR20:router>enable //进入特权模式router# configure terminal //进入全局配置模式router(config)#interface fastethernet 0/0 //进入路由器F0/0的接口模式router(config-if)# ip address 192.168.10.1 255.255.255.0router(config-if)# no shutdown //开启该端口,使端口转发数据2. 将PC1设置IP地址为192.168.10.2/24,网关为192.168.10.1。
测试PC1与网关的通信,并确认正常:Ping 192.168.10.1 -tReply from 192.168.10.1: bytes=32 time<1ms TTL=1503. 将PC2设置IP地址为192.168.10.3/24,网关为192.168.10.1。
测试PC2与PC1的通信,并确认正常:Ping 192.168.10.2 -tReply from 192.168.10.2: bytes=32 time<1ms TTL=1504. 将PC2上的防病毒软件监控功能关闭,然后运行网络执法官软件,并将192.168.10.1添加到关键主机列表,再设置阻断PC1与网关的通信,在主机列表中,对限制主机单击右键,选择“设定权限”,在弹出的窗口中,选择“发现该用户与网络连接即进行管理”,再点击“确定”即可。
防止arp欺骗木马病毒小案例
防止arp欺骗木马病毒小案例一.Arp病毒简介近期,一种新的“ARP欺骗”木马病毒(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序)在互联网上扩散,不少客户局域网中都已发现机器感染此病毒,表现为用户频繁断网、线路严重丢包,IE浏览器频繁出错以及一些常用软件出现故障等问题。
Arp欺骗原理要谈ARP欺骗,首先要说一下arp的运行机制,通常主机发送一个ip包之前,它要到自己的ARP缓存表中寻找是否有目标主机的IP地址,如果找到了,也就知道了目标主机的MAC地址,然后直接发送;如果没有找到,该主机就发送一个ARP广播包目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“xxx.xxx.xxx.xx1的MAC地址是什么?”ip为xxx.xxx.xxx.xx1的主机响应这个广播,应答ARP广播为:“我是xxx.xxx.xxx.xx1,我的mac为xxxxxxxxxx2"这样,主机A就知道了主机B的MAC地址,可以通信了。
同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,可以直接在ARP缓存表里查找。
ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
当我们设定一个目标进行ARP欺骗时,也就是设置一主机C捕获主机A发送给主机B 的通信数据包,如果C能够接收到A发送的数据包,那么第一步嗅探成功了。
但是主机A 并没有意识到主机B没有接受到主机A发送的数据包。
假如主机C进行ICMP重定向,那么他可以直接进行整个包的修改,捕获到主机A发送给主机B的数据包,全部进行修改后再转发给主机B,而主机B接收到的数据包完全认为是从主机A发送来的。
这样主机C就完成了ARP欺骗。
中毒现象当某台主机中了这类ARP欺骗的病毒/木马程序后,会不定期发送仿冒的ARP响应数据报文。
这种报文会欺骗所在网段的主机和交换机,让其他用户上网的流量必须经过病毒主机。
校园网ARP病毒防治
校园网ARP病毒的防治摘要:本文通过作者在工作中遇到的arp病毒对校园网的影响,结合实际,提出了几条防范措施。
关键词:校园网;网络安全;arp病毒引文随着网络的快速发展,校园网已经成为师生工作学习不可缺少的一部分。
学校信息化办公室对网络安全也是常抓不懈,在校园网的出口,配置了性能优秀的防火墙,抵御外来黑客的入侵。
但是,校园网用户数在不断增加,目前有超过一万多台的主机同时网络在线,当内部计算机感染病毒尤其是arp病毒,同样对网络的安全构成威胁。
我校也遭遇过arp病毒攻击网络的事件,造成大面积的网络中断,影响师生的正常上网。
一、ip和mac的关系arp(address resolution protocol)协议是地址解析协议,用于将计算机的32位的网络地址转为48位的物理地址。
arp协议是属于链路层的协议,在以太网中,网络数据的传输过程,必须通过计算机的以太网的物理地址来对应交换机的端口,才能将数据从一台主机发送至另外一台主机或者是网关。
arp协议是建立在一个局域网内节点相互信任的基础上的,它是无状态的协议,不会检查自己是否发过请求包,也不管(其实也不知道)是否是合法的应答,只要收到目标mac是自己的arp reply 包或arp广播包,都会接受并缓存。
感染arp病毒的主机会发布虚假的arp报文从而影响网内其它主机的上网,甚至可以做”中间人”。
二、arp病毒arp病毒是一类特殊的病毒,该病毒在其发作的时候会在局域网内发送错误的arp欺骗数据包,干扰全网的运行。
arp病毒主要分为三类1、arp网关欺骗。
例如:a是感染arp病毒的计算机,a会向本局域网的计算机发送错误的arp数据包,欺骗局域网的计算机自己就是网关,局域网内的其它计算机收到arp包后,会更新自己的arp 列表。
在此列表中,原本网关的mac被感染arp病毒计算机的mac 所取代,这样局域网中原本应该发送至网关的数据包都被转发到了a,从而造成了整个局域网的网络中断。
锐捷NBR系列网吧专用路由器基本配置&网络问题简单分析
锐捷NBR系列网吧专用路由器基本配置&网络问题简单分析By WenZhou Backbone Infosystems Engineering Co.,ltd.锐捷NBR系列网吧专用路由器的优点这里不再详述,有兴趣了解的可登陆/星网锐捷了解更多资料。
鉴于温州地区网吧使用此系列路由器较多,很多网管朋友们都提过不少问题和意见。
因此,温州志邦信息系统工程有限公司积极听取了大家的意见,以及对各种常见问题的归纳,整理了此文档。
写在操作前:需要对路由器进行CLI(Command Line Interface)操作,这里很必要各位了解清楚CLI的几种配置模式。
首先,通过console 口连接到PC,或路由器已经配置好了情况下,在PC上使用超级终端或在CMD里,telnet 路由器IP地址。
下面的图以NBR1000E为例。
1,telnet 192.168.1.253 (IP地址就是网关)输入telnet 密码(密码不会明文显示)输入正确密码后出现NBR1000> 注意“>”符号,这是说明你目前进入的是缺省模式,可以使用一些简单命令.然后输入:enable敲回车后提示输入密码,这里的密码是管理密码,同样不会明文显示.输入正确密码后,出现NBR1000# ,注意”#”.此符号证明是进入路由器特权模式.此模式下比缺省模式下能使用的命令多点,但如果要进行高级配置.需要输入:configure terminalNBR1000<config># 这个提示下是进入了路由器全局配置模式输入interface fastethernet 1/0 后出现NBR1000<config-if># 这就是进入了路由器接口配置模式OK,路由器主要的几种模式上面已经说清楚了.要记得几种模式是要严格按照顺序,一个模式到一个模式才能到达的.要退出到上一层模式,输入:exit 几种模式的理解,才能对下面的配置掌握.下面各种配置前,只说明需要在什么模式下.切记开始路由器配置操作!一,内网各类服务器需要映射到公网映射命令:全局配置模式下:ip nat inside source static [TCP/UDP/IP] 内网服务器IP 端口号映射到外网IP 端口号[permit-inside]CS服务器:常用udp 27015 27016 27017。
锐捷路由设置实例
锐捷路由设置实例设置console口密码lh#conf tEnter configuration commands, one per line. End with CNTL/Z.lh(config)#line con 0lh(config-line)#password mimalh(config-line)#修改enable口令lh#conf tEnter configuration commands, one per line. End with CNTL/Z.lh(config)#enable password mimalh(config)#enable secret mimalh(config)#修改telnet口令lh#conf tEnter configuration commands, one per line. End with CNTL/Z.lh(config)lh(config)#line vty 0 4lh(config-line)#loginlh(config-line)#password mimalh(config-line)#exitlh(config)#exitlh#exit出现攻击时掉线时请用console链接路由,保存好如下命令的相关内容,用以分析:1、show ver (版本信息)2、show run (配置信息)3、show arp (arp信息)4、show interface (端口信息)5、show ip nat trans (nat信息)6、show ip nat stat7、show ip nat statistics per-user (只要第1屏的信息)8、show ip cache (只要第1屏的信息)9、show ip nat statistics suspicious-pc发送免费arp:lh#conf tEnter configuration commands, one per line. End with CNTL/Z.lh(config)#int f 0/0(内网)lh(config)#arp gr int 1lh(config)#int f 1/0(外网)lh(config)#arp gr int 1lh(config)#endlh#wr端口映射:lh#conf tEnter configuration commands, one per line. End with CNTL/Z.lh(config)#ip nat source static tcp 192.168.3.99ip 80 219.128.102.110 80 permit-insidelh(config)#endlh#wr限制内网某机器不限速(192.168.2.80):lh#conf tEnter configuration commands, one per line. End with CNTL/Z.lh(config)#ip nat translation rate-limit iprange 192.168.2.2 192.168.2.79 inbound 500 outbound 1000lh(config)#ip nat translation rate-limit iprange 192.168.2.81 192.168.3.253 inbound 500 outbound 1000lh(config)#endlh#wr限制内网PC的链接线程数同限速:lh#conf tEnter configuration commands, one per line. End with CNTL/Z.lh(config)#ip nat translation per-user 0.0.0.0 250lh(config)#ip nat translation rate-limit default inbound 500 outbound 1000lh(config)#endlh#wr禁止公网访问IPlh#conf tEnter configuration commands, one per line. End with CNTL/Z.lh(config)#access-list 3199 deny icmp any any echolh(config)#access-list 3199 deny tcp any any eq 135lh(config)#access-list 3199 deny tcp any any eq 139lh(config)#access-list 3199 deny udp any any eq netbios-sslh(config)#access-list 3199 deny tcp any any eq 445lh(config)#access-list 3199 deny tcp any host 219.128.102.110 eq wwwlh(config)#access-list 3199 permit ip any anylh(config)#endlh#wr禁止内网部分IP访问网关的lh#conf tEnter configuration commands, one per line. End with CNTL/Z.lh(config)#webaccess-list 3198 deny tcp 192.168.2.1 192.168.2.100 host 192.168.3.254 eq wwwlh(config)#access-list 3198 permit ip any anylh(config)#endlh#wr禁止IP访问网络lh#conf tEnter configuration commands, one per line. End with CNTL/Z.lh(config)#access-list 3001 deny ip host 202.96.128.166 anylh(config)#access-list 3001 permit anylh(config)#endlh#wrarp绑定lh#conf tEnter configuration commands, one per line. End with CNTL/Z.lh(config)#arp 192.168.3.1 0011.5b71.2869 arpalh(config)#endlh#wr取消arp绑定:lh#conf tEnter configuration commands, one per line. End with CNTL/Z.lh(config)#no arp 192.168.3.1lh(config)#endlh#wr防范DDOS攻击lh#conf tEnter configuration commands, one per line. End with CNTL/Z.lh(config)#security anti-wan-attack level highlh(config)#endlh#wr防范sysflood攻击lh#conf tEnter configuration commands, one per line. End with CNTL/Z.lh(config)#access-list 10 permit host 192.168.3.254lh(config)#int f 0/0lh(config)#rate-limit input access-group 10 64000 3000 3000 conform-action transmit exceed-action droplh(config)#endlh#wr禁止机器上网lh#conf tEnter configuration commands, one per line. End with CNTL/Z.lh(config)#acl 99 deny 192.168.1.2lh(config)#acc 99 deny 192.168.1.10lh(config)#acc 99 per anylh(config)#endlh#wr时间同步配置lh#conf tEnter configuration commands, one per line. End with CNTL/Z. lh(config)#sntp enablelh(config)#sntp interval 60lh(config)#sntp server 128.105.37.11lh(config)#clock uplh(config)#endlh#wrSNMP配置lh#conf tEnter configuration commands, one per line. End with CNTL/Z. lh(config)#snmp-server location ShunDelh(config)#snmp-server host 192.168.2.252 version 2 mrtglh(config)#snmp-server enable traps snmp authenticationlh(config)#snmp-server community public rolh(config)#endlh#wr日志服务器配置lh#conf tEnter configuration commands, one per line. End with CNTL/Z. lh(config)#logging 219.128.1.3lh(config)#endlh#wr现用配置lh(config)#show runBuilding configuration...Current configuration : 13406 bytes!version 8.5 (building 13) for NBRhostname lhenable password 7 10140b2e0d07195c74sntp enablesntp interval 60sntp server 128.105.37.11!!!!!!access-list 3198 deny tcp any any eq 135access-list 3198 deny tcp any any eq 445access-list 3198 permit ip any anyaccess-list 3199 deny icmp any anyaccess-list 3199 deny tcp any any eq 135access-list 3199 deny tcp any any eq 445access-list 3199 permit ip any anyaccess-list 99 permit any!no service password-encryption!!!!interface FastEthernet 0/2ip access-group 3199 inarp gratuitous-send interval 1duplex autospeed autoshutdown!interface Null 0!interface GigabitEthernet 0/0ip nat insideip access-group 3198 inno ip redirectsip address 192.168.3.254 255.255.254.0arp gratuitous-send interval 1duplex autospeed auto!interface GigabitEthernet 0/1ip nat outsideip access-group 3199 inip address 219.128.1.3 255.255.255.248arp gratuitous-send interval 1duplex autospeed autobandwidth 100000!!ip nat pool nbr_setup_build_pool prefix-length 24address 219.128.102.252 219.128.1.3 match interface GigabitEthernet 0/1!ip nat inside source static udp 192.168.3.99 27016 219.128.1.3 27016 permit-insideip nat inside source static udp 192.168.3.99 27015 219.128.1.3 27015 permit-insideip nat inside source static tcp 192.168.3.252 4899 219.128..3 5000 permit-insideip nat inside source static tcp 192.168.3.249 2531 219.128.1.3 2531 permit-insideip nat inside source static tcp 192.168.2.252 22 219.128.102.252 22 permit-insideip nat inside source static tcp 192.168.3.252 3389 219.128.1.3 3390 permit-insideip nat inside source list 99 pool nbr_setup_build_poolip nat translation max-entries 500000ip nat translation per-user 0.0.0.0 250ip nat translation rate-limit iprange 192.168.2.1 192.168.2.230 inbound 800 outbound 2000ip nat translation rate-limit iprange 192.168.3.1 192.168.3.82 inbound 800 outbound 2000ip nat translation udp-timeout 150ip nat translation icmp-timeout 30ip nat translation tcp-timeout 600ip nat translation finrst-timeout 20ip nat translation dns-timeout 30arp 192.168.2.168 0011.5b71.aa0c arpaarp 192.168.2.40 00e0.4c73.a55a arpaarp 192.168.2.232 0011.5b6f.6fc2 arpaarp 192.168.2.104 0011.5b71.2c8e arpaarp 192.168.2.136 0011.5b71.26b2 arpaarp 192.168.2.8 00e0.4c73.9e0a arpaarp 192.168.3.8 0011.5b71.3224 arpaarp 192.168.2.200 0011.5b6b.1386 arpaarp 192.168.2.72 0016.ec99.b9cd arpaarp 192.168.2.184 0011.5b71.286b arpaarp 192.168.2.56 00e0.4c73.9ee1 arpaarp 192.168.3.248 0016.ec99.51cd arpaarp 192.168.2.120 0011.5b71.2353 arpaarp 192.168.2.152 00e0.4c73.9f03 arpaarp 192.168.2.24 0011.5b69.0b3d arpaarp 192.168.2.216 0011.5b71.23dc arpaarp 192.168.2.88 0016.ec99.b49c arpaarp 192.168.2.160 00e0.4c73.9f30 arpaarp 192.168.2.32 00e0.4c73.a54a arpaarp 192.168.2.96 0011.5b6b.0c8e arpa arp 192.168.2.128 0011.5b69.0b43 arpa arp 192.168.2.192 0011.5b76.7605 arpa arp 192.168.2.64 00e0.4c73.a5e0 arpa arp 192.168.2.176 0011.5b71.b684 arpa arp 192.168.2.48 00e0.4c73.9dd0 arpa arp 192.168.2.240 0011.5b71.a824 arpa arp 192.168.2.112 0016.ec99.b775 arpa arp 192.168.2.144 0011.5b76.769a arpa arp 192.168.2.16 0011.5b76.77d2 arpa arp 192.168.3.16 0011.5b71.2ed9 arpa arp 192.168.2.208 0011.5b71.b302 arpa arp 192.168.2.80 0016.ec99.4a00 arpa arp 192.168.2.172 0011.5b71.299a arpa arp 192.168.2.44 00e0.4c73.a5a0 arpa arp 192.168.2.236 0011.5b71.2357 arpa arp 192.168.2.108 0011.5b71.23df arpa arp 192.168.2.140 0011.5b71.b9b5 arpa arp 192.168.2.12 0011.5b71.2c8b arpa arp 192.168.3.12 0011.5b71.a6ab arpa arp 192.168.2.204 0011.5b71.a83d arpa arp 192.168.2.76 0011.5b71.ba5e arpa arp 192.168.2.188 0011.5b71.3227 arpa arp 192.168.2.60 0014.7836.95ea arpa arp 192.168.3.252 000e.0c71.73cc arpa arp 192.168.2.252 000e.0c71.73cf arpa arp 192.168.2.124 0011.5b69.0360 arpa arp 192.168.2.156 00e0.4c73.a502 arpa arp 192.168.2.28 0011.5b71.b02a arpa arp 192.168.2.220 0011.5b6a.f7e6 arpa arp 192.168.2.92 0016.ec7d.990f arpa arp 192.168.2.164 0011.5b76.7d6c arpa arp 192.168.2.36 00e0.4c73.a54d arpa arp 192.168.2.228 0011.5b71.a800 arpa arp 192.168.2.100 0011.5b71.2246 arpa arp 192.168.2.132 0011.5b71.b9df arpa arp 192.168.3.4 0011.5b71.2c8d arpa arp 192.168.2.4 00e0.4c73.9ef7 arpa arp 192.168.2.196 0011.5b76.7300 arpa arp 192.168.2.68 0011.5b71.ab64 arpa arp 192.168.2.180 0011.5b6b.0a9c arpa arp 192.168.2.52 00e0.4c73.9dff arpa arp 192.168.3.244 0014.7837.6b76 arpaarp 192.168.2.148 0011.5b71.286e arpa arp 192.168.2.20 0011.5b71.a3b6 arpa arp 192.168.3.20 0011.5b6f.64da arpa arp 192.168.2.212 0011.5b29.8018 arpa arp 192.168.2.84 0016.ec97.5d5a arpa arp 192.168.2.170 0011.5b29.7f38 arpa arp 192.168.2.42 00e0.4c73.9f7b arpa arp 192.168.2.234 0011.5b71.ba8c arpa arp 192.168.2.106 0011.5b71.ad6a arpa arp 192.168.2.138 0011.5b71.2edf arpa arp 192.168.3.10 0011.5b29.8013 arpa arp 192.168.2.10 00e0.4c73.a597 arpa arp 192.168.2.202 0011.5b71.a6b0 arpa arp 192.168.2.74 0016.ec82.fe4b arpa arp 192.168.2.186 0011.5b71.ab59 arpa arp 192.168.2.58 00e0.4c73.9ea6 arpa arp 192.168.2.122 0011.5b76.734d arpa arp 192.168.2.154 00e0.4c73.9ee0 arpa arp 192.168.2.26 0011.5b6b.0c8e arpa arp 192.168.2.218 0011.5b71.a887 arpa arp 192.168.2.90 0016.ec98.f036 arpa arp 192.168.2.162 0011.5b71.a8a3 arpa arp 192.168.2.34 00e0.4c73.9e93 arpa arp 192.168.2.226 0011.5b6f.6aa4 arpa arp 192.168.2.98 0011.5b71.ac26 arpa arp 192.168.2.130 0011.5b71.3418 arpa arp 192.168.3.2 0011.5b71.358a arpa arp 192.168.2.2 00e0.4c73.a598 arpa arp 192.168.2.194 0011.5b76.84be arpa arp 192.168.2.66 0011.5b71.3665 arpa arp 192.168.2.178 0011.5b71.2ed8 arpa arp 192.168.2.50 00e0.4c73.9e2e arpa arp 192.168.2.114 0016.ec97.66bf arpa arp 192.168.2.146 0011.5b71.a7fe arpa arp 192.168.2.18 0011.5b69.0366 arpa arp 192.168.3.18 0011.5b76.7d6a arpa arp 192.168.2.210 0011.5b71.ab95 arpa arp 192.168.2.82 0016.ec99.b877 arpa arp 192.168.2.174 0011.5b6b.0a9d arpa arp 192.168.2.46 0011.5b71.2d02 arpa arp 192.168.2.238 0011.5b71.aad5 arpa arp 192.168.2.110 0016.ec99.4a05 arpa arp 192.168.2.142 0011.5b71.ab5d arpaarp 192.168.3.14 0011.5b71.a4ef arpa arp 192.168.2.206 0011.5b71.abca arpa arp 192.168.2.78 0011.5b63.bbb3 arpa arp 192.168.2.190 0011.5b71.26b0 arpa arp 192.168.2.62 00e0.4c73.a596 arpa arp 192.168.2.126 0011.5b76.84f7 arpa arp 192.168.2.158 00e0.4c73.a5e6 arpa arp 192.168.2.30 0011.5b71.ab5c arpa arp 192.168.2.222 0011.5b6f.6f88 arpa arp 192.168.2.94 0011.5b71.20ba arpa arp 192.168.2.166 0011.5b71.b9e0 arpa arp 192.168.2.38 00e0.4c73.a546 arpa arp 192.168.2.230 0011.5b71.b4a9 arpa arp 192.168.2.102 0011.5b71.2350 arpa arp 192.168.2.134 0011.5b69.0b3c arpa arp 192.168.2.6 00e0.4c73.9f00 arpa arp 192.168.3.6 0011.5b71.b4a6 arpa arp 192.168.2.198 0011.5b71.2eda arpa arp 192.168.2.70 00e0.4c73.9ee7 arpa arp 192.168.2.182 0011.5b71.2bd3 arpa arp 192.168.2.54 00e0.4c73.a543 arpa arp 192.168.3.246 0050.0900.2858 arpa arp 192.168.2.246 0011.5b69.0e8d arpa arp 192.168.2.118 0016.ec99.b774 arpa arp 192.168.2.150 0011.5b71.b303 arpa arp 192.168.2.22 0011.5b71.a885 arpa arp 192.168.2.214 0011.5b6f.2ccf arpa arp 192.168.2.86 0016.ec99.b76f arpa arp 192.168.2.169 0011.5b6f.6a6c arpa arp 192.168.2.41 00e0.4c73.9e26 arpa arp 192.168.2.233 0011.5b71.3413 arpa arp 192.168.2.105 0011.5b71.a885 arpa arp 192.168.2.137 0011.5b71.273b arpa arp 192.168.2.9 00e0.4c73.a527 arpa arp 192.168.3.9 0011.5b6f.6f82 arpa arp 192.168.2.201 0011.5b6c.c263 arpa arp 192.168.2.73 0016.ec98.eb9d arpa arp 192.168.2.185 0011.5b76.72c1 arpa arp 192.168.2.57 0014.7833.6874 arpa arp 192.168.2.249 0016.ec99.b774 arpa arp 192.168.3.249 0011.096b.8c92 arpa arp 192.168.2.121 0011.5b71.b62b arpa arp 192.168.2.153 00e0.4c73.9e95 arpaarp 192.168.2.217 0011.5b71.2246 arpa arp 192.168.2.89 0016.ec99.b780 arpa arp 192.168.2.161 00e0.4c73.a4e8 arpa arp 192.168.2.33 00e0.4c73.a4fc arpa arp 192.168.2.225 0011.5b69.045d arpa arp 192.168.2.97 0011.5b71.3665 arpa arp 192.168.2.129 0011.5b71.a6af arpa arp 192.168.3.1 0011.5b71.2869 arpa arp 192.168.2.1 00e0.4c73.9ef2 arpa arp 192.168.2.193 0011.5b71.aa06 arpa arp 192.168.2.65 0011.5b71.2cfe arpa arp 192.168.2.177 0011.5b71.b5fd arpa arp 192.168.2.49 00e0.4c73.a555 arpa arp 192.168.2.241 0011.5b76.77d3 arpa arp 192.168.2.113 0011.5b6a.fbb1 arpa arp 192.168.2.145 0011.5b71.a886 arpa arp 192.168.2.17 0011.5b6c.cb4e arpa arp 192.168.3.17 0011.5b76.76d2 arpa arp 192.168.2.209 0011.5b71.20c1 arpa arp 192.168.2.81 0016.ec99.4f54 arpa arp 192.168.2.173 0011.5b6f.6b01 arpa arp 192.168.2.45 00e0.4c73.9dd1 arpa arp 192.168.2.237 0011.5b71.20ba arpa arp 192.168.2.109 0011.5b76.7421 arpa arp 192.168.2.141 0011.5b6c.cb54 arpa arp 192.168.2.13 0011.5b6b.0bc7 arpa arp 192.168.3.13 0011.5b71.ba8b arpa arp 192.168.2.205 0011.5b71.2351 arpa arp 192.168.2.77 0016.ec99.4bea arpa arp 192.168.2.189 0011.5b6f.6fc6 arpa arp 192.168.2.61 00e0.4c73.a5bf arpa arp 192.168.3.253 0013.4665.b314 arpa arp 192.168.2.125 0011.5b6f.2a57 arpa arp 192.168.2.157 00e0.4c73.9f33 arpa arp 192.168.2.29 0011.5b6c.cb8a arpa arp 192.168.2.221 0011.5b6b.0aad arpa arp 192.168.2.93 0016.ec7d.9738 arpa arp 192.168.2.165 0011.5b71.ab5e arpa arp 192.168.2.37 00e0.4c73.9e20 arpa arp 192.168.2.229 0011.5b71.b07b arpa arp 192.168.2.101 0011.5b71.2c8a arpa arp 192.168.2.133 0011.5b76.77ce arpa arp 192.168.2.5 00e0.4c73.a4ff arpaarp 192.168.2.197 0011.5b76.779a arpa arp 192.168.2.69 00e0.4c73.a54b arpa arp 192.168.2.181 0014.2a15.60ea arpa arp 192.168.2.53 00e0.4c73.a5ef arpa arp 192.168.3.245 0000.0000.0001 arpa arp 192.168.2.117 0016.ec98.f03e arpa arp 192.168.2.149 0011.5b71.a825 arpa arp 192.168.2.21 0011.5b71.ab3a arpa arp 192.168.2.213 0011.5b6a.fbdf arpa arp 192.168.2.85 0016.ec99.4f47 arpa arp 192.168.2.171 0011.5b71.26b3 arpa arp 192.168.2.43 00e0.4c73.9e3c arpa arp 192.168.2.235 0011.5b69.0364 arpa arp 192.168.2.107 0011.5b6f.6aff arpa arp 192.168.2.139 0011.5b69.0b3f arpa arp 192.168.3.11 0011.5b71.2edc arpa arp 192.168.2.11 0011.5b69.0365 arpa arp 192.168.2.203 0011.5b71.b037 arpa arp 192.168.2.75 0016.ec99.b9da arpa arp 192.168.2.187 0011.5b71.3410 arpa arp 192.168.2.59 00e0.4c73.9dce arpa arp 192.168.3.251 000e.0c71.73cd arpa arp 192.168.2.123 0011.5b76.84f9 arpa arp 192.168.2.155 00e0.4c73.a5eb arpa arp 192.168.2.27 0011.5b71.3501 arpa arp 192.168.2.219 0011.5b29.7beb arpa arp 192.168.2.91 0016.ec98.ecd6 arpa arp 192.168.2.163 0011.5b6f.6aa9 arpa arp 192.168.2.35 00e0.4c73.a551 arpa arp 192.168.2.227 0011.5b71.3500 arpa arp 192.168.3.99 0011.d8e9.eb6c arpa arp 192.168.2.99 0011.5b71.23df arpa arp 192.168.2.131 0011.5b6f.297a arpa arp 192.168.2.3 00e0.4c73.9efd arpa arp 192.168.3.3 0011.5b71.b4d7 arpa arp 192.168.2.195 0011.5b71.3412 arpa arp 192.168.2.67 00e0.4c73.a540 arpa arp 192.168.2.179 0011.5b69.0367 arpa arp 192.168.2.51 00e0.4c73.9ee2 arpa arp 192.168.3.243 0016.ec99.51cd arpa arp 192.168.2.115 0016.ec99.4e7a arpa arp 192.168.2.147 0011.5b69.0419 arpa arp 192.168.2.19 0011.5b59.dea1 arpaarp 192.168.2.211 0011.5b76.76cd arpaarp 192.168.3.83 00e0.4cf7.3cf8 arpaarp 192.168.2.83 0011.5b71.3585 arpaarp 192.168.2.175 0011.5b71.20b9 arpaarp 192.168.2.47 00e0.4c73.9ded arpaarp 192.168.2.239 0011.5b71.b62a arpaarp 192.168.2.111 0016.ec99.b9d1 arpaarp 192.168.2.143 0011.5b6f.297e arpaarp 192.168.2.15 0011.5b71.b4dc arpaarp 192.168.3.15 0011.5b71.2c8c arpaarp 192.168.2.207 0011.5b71.322a arpaarp 192.168.2.79 0011.5b6f.7102 arpaarp 192.168.2.191 0011.5b71.b3d3 arpaarp 192.168.2.63 00e0.4c73.a572 arpaarp 192.168.2.127 0011.5b71.a379 arpaarp 192.168.2.159 00e0.4c73.9de1 arpaarp 192.168.2.31 00e0.4c73.a5f1 arpaarp 192.168.2.223 0011.5b76.734b arpaarp 192.168.2.95 0011.5b76.77d2 arpaarp 192.168.2.167 0011.5b76.7608 arpaarp 192.168.2.39 0011.5b76.84fa arpaarp 192.168.2.231 0011.5b71.2cff arpaarp 192.168.2.103 0011.5b76.76cd arpaarp 192.168.2.135 0011.5b71.ba88 arpaarp 192.168.2.7 00e0.4c73.9de8 arpaarp 192.168.3.7 0011.5b41.2d0d arpaarp 192.168.2.199 0011.5b29.7f39 arpaarp 192.168.2.71 0011.5b71.2c8e arpaarp 192.168.2.183 0011.5b76.7799 arpaarp 192.168.2.55 00e0.4c73.9e9d arpaarp 192.168.3.247 0011.5b6f.6fc7 arpaarp 192.168.2.119 0016.ec99.b783 arpaarp 192.168.2.151 0011.5b71.2998 arpaarp 192.168.2.23 0011.5b53.3e9b arpaarp 192.168.2.215 0011.5b69.0f36 arpaarp 192.168.2.87 0016.ec98.f033 arpasecurity anti-wan-attack level medium!ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/1 219.128.1.1 !snmp-server location ShunDesnmp-server host 192.168.2.252 version 2 mrtgsnmp-server enable traps snmp authenticationsnmp-server community public roline con 0line vty 0loginpassword 7 11082f0a07481c26417a79 line vty 1loginpassword 7 02594b380d042f047c4447 line vty 2loginpassword 7 100f1a2810105b0a72437e line vty 3loginpassword 7 123d0d1d5f0f3015787d50 line vty 4loginpassword 7 131f1a451823032c7f5410 !!end。
锐捷rg-s2952g-e详细参数
单口1000BASE-ZX mini GBIC转换模块(LC接口),80km
单口1000BASE-ZX mini GBIC转换模块(LC接口),100km
SFP堆叠模块,
交换容量
256G
包转发率
51Mpps/96Mpps
87Mpps/132Mpps
51Mpps/96Mpps
51Mpps/96Mpps
二层特性
VLAN
支持4K个 VLAN
支持Protocol Based VLAN
支持Private VLAN
支持Voice VLAN
支持Guest VLAN
支持基于MAC地址的VLAN
支持QinQ
支持GVRP
链路聚合
支持LACP
Mirror
支持普通业务口、聚合端口作为镜像的源目端口
支持基于流、基于VLAN的端口镜像
支持多对一、RSPAN、ERSPAN
支持跨设备的流量镜像
DHCP
DHCP Server
DHCPv6 Server
ACL
标准IP ACL(基于IP地址的硬件ACL)、
扩展IP ACL(基于IP地址、TCP/UDP端口号的硬件ACL)、
MAC扩展ACL(基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL)、
主动防御网络中各类DOS攻击
网络由于其开放性,经常由于计算机感染病毒,或是接入网络的人员出于各种目的对网络设备、网络中的服务器进行攻击,导致网络无法正常使用。较常见的如ARP泛洪攻击导致网关无法响应请求、ICMP泛洪攻击导致网络设备CPU负载过高无法正常工作,DHCP请求泛洪攻击,导致DHCP服务器地址枯竭,用户无法正常获取IP地址访问网络。
锐捷全网防arp欺骗配置案例
ip address 192.168.100.2 255.255.255.0
!
aaa authorization ip-auth-mode dhcp-server//开启aaa认证的IP授权模式为DHCP获取
radius-server key public
ip default-gateway 192.168.100.1
switchport mode trunk
dot1x port-control auto
!
interface GigabitEthernet 0/2//开启端口安全,静态ip/MAC绑定
description Connect_PC2
switchport access vlan 20
switchport port-security
service dhcp address-bind port//开启端口的DHCP动态绑定
ip helper-address 192.168.200.2
ip dhcp relay information option82//基于dhcp server option82相关字段进行dhcp relay
b)绑定下联设备管理地址的IP/MAC;
address-bind 192.168.2.2 00d0.f8bc.8b0c
c)设置绑定上联口,保证上联口正常通信;
address-bind uplink FastEthernet 0/1
d) arp-check默认开启;
8610实施要点
DHCP Snooping+DAI
service dhcp
service dhcp address-bind//开启全局的DHCP动态绑定,和2126配置有区别
网络-锐捷网络排错之ARP攻击
网络排错之ARP攻击网络出现问题2007年5月14日,宁波某高校王老师反馈核心设备CPU利用率高达100%,全校上网速度极慢。
经过初步排查,是其建工学院网络出现问题,拔掉网线后,核心设备CPU利用率稳定在7%左右,全校上网恢复正常。
排错过程经过抓包分析,IP地址为192.168.1.1的机器发出大量的ARP请求数据包造成核心设备瘫痪。
(ARP请求数据包为CPU处理,大量的ARP请求会造成核心设备CPU应接不暇)从分析中,可以得知0019E0B7077A和0019E0B70F50的机器发送的大量ARP请求是造成此次网络危害的根源!怀疑网络中存在ARP泛洪攻击(虚假IP+虚假MAC)。
经过端口定位,发现某办公室端口下存在该攻击。
拔掉该办公室的所有电脑后,该攻击依然存在。
问题在哪里!?不经意间,目光落在了连接该办公室电脑的TP-LINK无线宽带路由器。
难道是有人通过无线接入后,发动攻击?将该设备无线功能关闭后,问题依然存在。
头晕了。
拔掉该设备的进线后(连接到楼层交换机的线缆),问题突然消失。
窃喜。
插回后,问题出现。
反复试验后,最终定位问题为该TP-LINK无线宽带路由器。
呵呵,发现了ARP攻击器!下班了,可以休息一下了。
:)第二天一早,到网络中心实验环境中,插上该设备,期待问题再次出现。
可是,我错了。
问题没有出现。
疯了。
:(时针指向9:00,建工学院打了电话,还是上不去网,网络中心检测到,核心设备CPU 利用率又高达100%。
吐血!到建工学院再次抓包,还是192.168.1.1的ARP泛洪攻击,只不过MAC地址改变了。
难道攻击源找错了?老师的一句话,不经意间提醒了我,我们买了TP-LINK的无线宽带路由器有10几台呢!经过察看TP-LINK日志,发现了大量的IP绑定冲突信息。
并发现了其他办公室的TP-LINK 的MAC地址就是日志中的冲突的地址。
真正的问题找到了,是TP-LINK无线宽带路由器冲突,造成产生了大量的ARP请求数据包。
锐捷网络方案
目录1.方案拓扑及特点介绍ﻩ21.1方案拓扑.................................................. 错误!未定义书签。
1.2方案特点介绍............................................. 错误!未定义书签。
1.2。
1锐捷产品高性能、高可靠性,保证网络安全稳定运行ﻩ错误!未定义书签。
1。
2.2网络级ARP防护体系ﻩ错误!未定义书签。
31。
2.3MAC绑定,实现安全接入控制ﻩ1.2.4 整合双出口线路,实现负载均衡ﻩ错误!未定义书签。
1。
2.5交换机VLAN隔离技术,保障通信安全ﻩ错误!未定义书签。
1.2.6 完善的Qos策略,保证关键网络应用优先转发ﻩ错误!未定义书签。
1。
2.7 强大的防攻击能力和网络病毒防御能力ﻩ错误!未定义书签。
1.2。
8 完善的流量控制,保证网络带宽资源的合理利用........... 错误!未定义书签。
2。
方案产品介绍ﻩ错误!未定义书签。
2.1NBR1100电信级防攻击宽带路由器ﻩ错误!未定义书签。
2.2RG-S3250安全智能三层交换机............................... 错误!未定义书签。
2.3RG-S2026F接入交换机ﻩ错误!未定义书签。
3. 产品清单ﻩ错误!未定义书签。
1。
方案拓扑及特点介绍1。
1 方案拓扑本方案全部采用国内三大网络厂商之一的“锐捷网络”的产品。
采用出口、核心、接入三层架构的网络解决方案网络层次结构清晰简单。
二层网络上实现VLAN划分,出口NBR路由器,内置防火墙,支持自动检测冲击波和震荡波病毒。
可识别并阻断机器狗病毒的中毒过程,同时显示试图访问带毒网站的主机信息和带毒网站的IP地址。
弹性带宽、智能限速:可针对全网、单个IP或IP段进行上传下载速率的分别弹性限制。
全web管理和监控界面,降低网络管理技术门槛。
1.2 方案特点介绍1。
2.1 锐捷产品高性能、高可靠性,保证网络安全稳定运行福建星网锐捷网络有限公司是国内三大网络厂商之一,其产品的高性能,高可靠性在国内众多高校(包括川大、电子科技大学等)、金融行业(建行、农行)以及政府机关(四川省委组织部等),国资委企业(四川路桥集团,川投集团,华西集团等)得到了充分的验证,值得信赖。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ip helper-address 192.168.204.88
ip dhcp relay information option82
d)进行arp检查;
port-security arp-check;只有目的IP地址为管理地址的ARP报文送入CPU(硬件转发)。其他ARP报文结合绑定检验正确性,决定丢弃,转发处理;
switchport mode trunk
dot1x port-control auto
!
interface GigabitEthernet0/12
description Connect_S8610
no switchport
ip address 10.0.0.1255.255.255.252
!
interface Vlan 10
no shutdown
ip address 192.168.100.2 255.255.255.0
!
aaa authorization ip-auth-mode dhcp-server//开启aaa认证的IP授权模式为DHCP获取
radius-server key public
ip default-gateway 192.168.100.1
文档编号:65wangt200705242
文档名称:锐捷全网防ARP欺骗配置案例
替代文档:(根据资料库是否有需要替换的内容填写)
附件:(有附件的,请填写文档编号)
编制区域:华东区
编制人:王涛
发布时间:(最终发布时由林晋填写)
总页数:11
正文页数:10
内容提要:S21推出支持DHCP relay跨管理vlan relay版本,S3760推出支持arp cheak版本,S86推出支持DAI(动态arp检测)功能后,锐捷已经在全球率先推出了全网防arp欺骗的解决方案。
address-bind 192.168.100.3 000c.f849.3c20//绑定下联非锐捷设备1的管理地址
address-bind uplink FastEthernet 0/1设置绑定上联口,保证上联口正常通信
!
interface GigabitEthernet0/1
description Connect_uplinkS2126G
RG-S8600 V10.1(2)
内容提要:
锐捷全网防arp欺骗配置案例
编写日期
2007-5-23
编写人
王涛
发布对象
●公司内部○用户
简要描述
标题:
锐捷全网防arp欺骗配置案例
简述:
S21推出支持DHCP relay跨管理vlan relay版本,S3760推出支持arp cheak版本,S86推出支持DAI(动态arp检测)功能后,锐捷已经在全球率先推出了全网防arp欺骗的解决方案。
interface fastEthernet 0/1
description Connect_S3760
switchport mode trunk
!
interface fastEthernet0/2//端口开启认证时进行动态绑定
description Connect_PC1
switchport access vlan10
arp 192.168.100.1 00d0.f8a4.7597arpa fastEthernet 0/1
end
测试结果
1)测试的过程中,送入21的管理地址的arp,21会进行学习;21即使学习到了构造的ARP,只会对该21的网管功能有影响,不会造成我们所说的影响其他用户上网,可以通过在21上静态绑定与三层设备通信的IP/MAC地址来保证远程的网管功能正常。
2、S3760下挂非锐捷交换机时,在S3760端口开启radius认证的情况下,用户通过DHCP relay获取地址,防止对网关的ARP欺骗。
3、S3760端口直连用户时,在S3760端口开启radius认证的情况下,用户通过DHCP relay获取地址,防止对网关的ARP欺骗。
4、S8610下挂非锐捷交换机时,在S8610上开启DAI+dhcp snooping,防止arp欺骗。
switchport mode trunk
dot1x port-contrtEthernet 0/2//开启端口安全,静态ip/MAC绑定
description Connect_PC2
switchport access vlan 20
switchport port-security
ip address 192.168.10.1 255.255.255.0
!
interface Vlan20
ip address 192.168.20.1 255.255.255.0
!
interface Vlan 30
ip address 192.168.30.1 255.255.255.0
!
interface Vlan 100
S2126G#show running-config
System software version : 1.68(1a3) Build May 14 2007 Release
Building configuration...
Current configuration : 1140 bytes
!
version 1.0
dot1x port-control auto
!
interface fastEthernet 0/3//端口不开启认证进行动态绑定,需要开启端口安全
description Connect_PC5
switchport access vlan10
switchport port-security
!
interface vlan100
service dhcp address-bind port//开启端口的DHCP动态绑定
ip helper-address 192.168.200.2
ip dhcp relay information option82//基于dhcp server option82相关字段进行dhcp relay
service dhcp
service dhcp address-bind//开启全局的DHCP动态绑定,和2126配置有区别
ip helper-address 192.168.200.2
address-bind 192.168.100.2 00d0.f8bc.8b0c//绑定下联S2126G的管理地址
System software version : RGNOS V4.12(7) BuildMay17 2007Release
Building configuration...
Current configuration : 962 bytes
version 1.0
!
hostnameS3760
vlan 1
port-security arp-check//开启交换机的arp报文检查功能
port-security arp-check cpu//对送入交换机的arp报文进行检测
address-bind 192.168.100.1 00d0.f8a4.7597//绑定上联设备的管理网关地址
service dhcp
注释:如果接入客户端不进行认证的情况下,可以开启端口安全,然后通过动态的DHCP获取地址绑定,也可以实现防止对其他主机以及三层网关的欺骗。
非锐捷设备1配置:
上联端口trunk
其他端口VLAN 30
交换机管理IP 192.168.100.3
S3760配置:
S3760#show running-config
b)绑定下联设备管理地址的IP/MAC;
address-bind 192.168.2.2 00d0.f8bc.8b0c
c)设置绑定上联口,保证上联口正常通信;
address-bind uplink FastEthernet 0/1
d) arp-check默认开启;
8610实施要点
DHCP Snooping+DAI
!
vlan10
!
vlan20
!
vlan30
!
vlan100
!
radius-server host 192.168.200.3
aaa authentication dot1x
aaa accounting server 192.168.200.3
aaa accounting
aaa accounting update
port-security arp-check cpu;对目的IP地址为管理地址,送入CPU处理的报文进行检测,结合绑定地址决定丢弃,转发处理。
3760实施要点
DHCP relay +全局的动态地址绑定+ arp-check +端口认证
a)开启全局的DHCP动态绑定;
service dhcp address-bind
ip address 192.168.100.1 255.255.255.0
!
!
radius-server key public
!
ip route0.0.0.00.0.0.0 FastEthernet 0/1 10.0.0.21 enabled