三层交换机上防止ARP攻击的手段


关键词

三层交换机上防止ARP攻击的手段

摘要

<p>ARP的防御是一个工程!本文仅就三层交换机的角度,谈谈有些什么样的手段这增强ARP的防护。</p><p><br /></p><p>1、三层设备上防止他人冒充网关(未验证)<br /><br />  对于三层设备,需要配置过滤源IP是网关的ARP报文的ACL规则,配置如下ACL规则:<br />  acl number 5000<br />  rule 0 deny 0806 ffff 24 64010105 ffffffff 40<br />  rule0禁止S3526E的所有端口接收冒充网关的ARP报文,其中斜体部分64010105是网关IP地址100.1.1.5的16进制表示形式。<br /><br /><br />2、三层设备上防止冒充他人IP的arp攻击<br />  作为网关的设备有可能会出现ARP错误表项,因此在网关设备上还需对仿冒他人IP的ARP攻击报文进行过滤。<br /><br /></p>

ARP的防御是一个工程!本文仅就三层交换机的角度,谈谈有些什么样的手段这增强ARP的防护。


1、三层设备上防止他人冒充网关(未验证)

  对于三层设备,需要配置过滤源IP是网关的ARP报文的ACL规则,配置如下ACL规则:
  acl number 5000
  rule 0 deny 0806 ffff 24 64010105 ffffffff 40
  rule0禁止S3526E的所有端口接收冒充网关的ARP报文,其中斜体部分64010105是网关IP地址100.1.1.5的16进制表示形式。


2、三层设备上防止冒充他人IP的arp攻击
  作为网关的设备有可能会出现ARP错误表项,因此在网关设备上还需对仿冒他人IP的ARP攻击报文进行过滤。

2.1 在S3928上配置静态ARP,可以防止该现象:(已验证)
  arp static 221.231.140.247 000f-3d81-45b4 1007 e1/0/22

2.2 除了可以配置静态ARP外,还可以配置IP+MAC+port绑定,比如在S3928端口 E1/0/22上做如下操作:(已验证)
   am user-bind mac-addr 001e-0bc5-5f4c ip-addr 221.231.140.247
   am user-bind mac-addr 0021-5acc-fc28 ip-addr 221.231.140.253
   am user-bind mac-addr 001e-0bc5-615c ip-addr 221.231.140.246
则IP为221.231.140.247,并且MAC为001e-0bc5-5f4c的ARP报文可以通过E1/0/22端口,仿冒其它设备的ARP报文则无法通过,从而不会出现错误ARP表项。并且,要想让E1/0/22端口下所有机器都能上网,则必须有多少个就要加多少个记录。
唯一有一个问题没有解决的是,如果一个网卡上绑定了多IP地址的,好像不能加多条记录来搞定。这样推广起来就有很大的难度。
另外,操作的最小单元是一个交换机端口,一旦绑定一条记录,其它暂时还没有绑定的都会断掉,MyGod!所以要速度!

 

要饭二维码

洪哥写文章很苦逼,如果本文对您略有帮助,可以扫描下方二维码支持洪哥!金额随意,先行谢过!大家的支持是我前进的动力!

文章的版权

本文属于“洪哥笔记”原创文章,转载请注明来源地址:三层交换机上防止ARP攻击的手段:http://www.splaybow.com/post/switcharpprotect.html

如果您在服务器运维、网络管理、网站或系统开发过程有需要提供收费服务,请加QQ:115085382!十年运维经验,帮您省钱、让您放心!
亲,如果有需要,先存起来,方便以后再看啊!加入收藏夹的话,按Ctrl+D

« 华为交换机打补丁的教程 OSPF与BGP的区别 »

相关文章:

H3C交换机EI和SI的区别  (2014/5/23 10:44:59)

H3C与华为的关系  (2014/5/22 14:25:46)

局域网内无法连接虚拟机  (2014/5/9 10:12:27)

控制交换机端口流量  (2014/3/12 10:24:30)

快速生成树协议  (2013/9/26 22:01:36)

配置简单的静态路由  (2013/9/26 21:57:46)

H3C交换机之命名规则  (2013/8/28 17:48:11)

H3C交换机之网络故障排查方案  (2013/8/26 11:31:10)

三层交换原理图解  (2013/8/26 11:03:05)

交换机端口镜像  (2013/7/24 13:18:31)