防止VLAN间的ARP***解决方案
ZDNet 网络频道 更新时间:2009-01-10 作者:论坛管理 来源:zdnet安全频道
本文关键词:arp*** VLAN
如今很多交换机都能够防止ARP***核心层Gateway,但是不能很有效的防止各VLAN间的***,防止VLAN间的***,我认为用VLAN内的VACL防止比较好,安全性能才能提高。
由于公司交换设备用的是OMNI 但是安全方面应该也有相关设置作简单演示,不去深入100 3/12 default inactive 利用无用端口演示下:
6602-SHA-15F> port-security 3/12 enable
6602-SHA-15F> port-security 3/12 maximum 10
6602-SHA-15F> port-security 3/12 violation ?
^
SHUTDOWN RESTRICT
CISCO具体方案:
在全部是Cisco交换网络里,可以通过帮定每台设备的ip和mac地址可以解决。但是这样做比较麻烦,可以用思科 Dynamic ARP Inspection 机制解决。 (*注释:用port-security,必定是access口)
防范方法 :
思科 Dynamic ARP Inspection (DAI)在交换机上提供IP地址和MAC地址的绑定, 并动态建立绑定关系。DAI 以 DHCP Snooping绑定表为基础,对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现。DAI配置针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。所以,我认为,通过这样的配置,可以解决ARP***问题,更好的提高网络安全性和稳定性。
配置:
IOS 全局命令:
ip dhcp snooping vlan 100,200 ,300,400
no ip dhcp snooping information option
ip dhcp snooping
ip arp inspection vlan 100,200 ,300,400
ip arp inspection log-buffer entries 1024
ip arp inspection log-buffer logs 1024 interval 10
IOS 接口命令:
ip dhcp snooping trust
ip arp inspection trust
ip arp inspection limit rate 15
对于没有使用 DHCP 设备可以采用下面办法:
arp access-list static-arp
permit ip host 202.65.3.42 mac host 0012.3F82.1B22
ip arp inspection filter static-arp vlan 201

    配置DAI后的效果:
由于 DAI检查 DHCP snooping绑定表中的IP和MAC对应关系,无法实施中间人***,***工具失效。下表为实施中间人***是交换机的警告:
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16, vlan 1.
([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2
由于对 ARP请求报文做了速度限制,客户端无法进行认为或者病毒进行的IP扫描、探测等行为,如果发生这些行为,交换机马上报警或直接切断扫描机器。如下表所示:
3w0d: %SW_DAI-4-PACKET_RATE_EXCEEDED: 16 packets received in 184 milliseconds
on Fa5/30. ******报警
3w0d: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa5/30,
putting Fa5/ 30 in err-disable state ******切断端口
4500-1#sh int f 5/30
FastEthernet5/30 is down, line protocol is down (err-disabled)
Hardware is Fast Ethernet Port , address is 0002.b90e .3f 4d
(bia 0002.b90e .3f 4d)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
4500-1#
用户获取 IP地址后,用户不能修改IP或MAC,如果用户同时修改IP和MAC必须是网络内部合法的IP和MAC才可,对于这种修改可以使用下面讲到的 IP Source Guard技术来防范。下表为手动指定IP的报警:
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/30, vlan 1.
([000d.6078.2d95/192.168.1.100/0000.0000.0000/192.168.1.100/01:52:28 UTC Fri
Dec 29 2000 ])
DAI支持的平台是3560以上吧,IP Source Guard 只有4500以上才能执行貌似。

转载于:https://blog.51cto.com/ivruru/153660

防止VLAN间的ARP***解决方案相关推荐

  1. HCIA—代理ARP (路由式代理ARP+vlan内代理ARP+vlan间代理ARP) [理论+实验验证]

    衷心感谢三位大佬的博客 ! ! ! ! 这篇博客主要是为了记录笔记方便查看而整理, 主要内容整理来源: (58条消息) 代理ARP实验_在下小黄的博客-CSDN博客_arp代理实验 (58条消息) 代 ...

  2. 华为交换机vlan间arp代理

    VLAN间Proxy ARP VLAN间Proxy ARP的配置思路如下: 1.配置Super-VLAN和Sub-VLAN. 2.将接口加入到从Sub-VLAN中. 3.创建Super-VLAN的VL ...

  3. 实验: GVRP 配置,三层交换机通讯 ,VLAN 间路由,单臂路由与路由器子接口的配置,vlan-单臂路由技术

    目录 一,实验1-3: GVRP 配置 [实验目的] [实验环境] [实验过程] 拓扑图 步骤一. 开启 GVRP 功能 步骤二. 在交换机之间配置 Trunk 链路 [实验总结] 二,实验1-4: ...

  4. 对VLAN间路由实验的总结

    对VLAN间路由实验的总结<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" ...

  5. VLAN基础VLAN间路由联动OSPF实验

    VLAN 前言以及技术背景 随着网络中计算机的数量越来越多,传统的以太网网络开始面临广播泛滥以及安全性无法保障等各种问题. VLAN(Virtual Local Area Network) 即虚拟局域 ...

  6. 015A VLAN间路由

    文章目录 背景 VLAN路由-每个VLAN一个物理连接 VLAN路由-单臂路由 VLAN路由-三层交换 背景 VLAN并不是为了完全的隔离,而是为了用户更好通信,那么怎么更好的管控通信呢?这就是VLA ...

  7. VLAN间通信(多臂路由、单臂路由、三层交换、VLAN聚合)

    文章目录 VLAN间流量通信的几种解决方案 前言 参考阅读 一.多臂路由 二.单臂路由 三.三层交换 四.VLAN聚合 VLAN间流量通信的几种解决方案 前言 不同的解决方案对应不同的应用场景 多臂路 ...

  8. 怎么把路由的#号去掉_VLAN应用篇系列:交换机VLAN间路由与传统单臂路由(子接口)方式...

    1 说明 之前已经讲解过了思科交换机的VLAN间路由以及路由器与二层交换机组网的单播路由形式[子接口],这次主要讲解华为上面的VLAN间路由的配置,以及单臂路由的组网方式.华为的三层VLAN接口,就叫 ...

  9. 单臂路由配置实验同一交换机上vlan间ping不通_【干货】什么是单臂路由?如何配置?...

    交换机配置如下: SW#vlan database SW(vlan)#vlan 2 VLAN 2 added: Name: VLAN0002 SW(vlan)#vlan 3 VLAN 3 added: ...

最新文章

  1. Java多线程协作CountDownLatch,主线程等待子线程结束
  2. c#json对象转数组_数组和对象的区别
  3. python自动操作excel_Python自动化办公之操作Excel
  4. Oracle rollup 关键字用法简介.
  5. SpringCloud(Gateway网关跨域)
  6. lin-cms-dotnetcore功能模块的设计
  7. prim算法和kruskal算法(C语言)
  8. R语言的自定义函数—字符组合
  9. 前端学习(86):标签嵌套规范
  10. maven 聚合工程 用spring boot 搭建 spring cloud 微服务 模块式开发项目
  11. promise的状态值_ES6中的Promise的用法总结
  12. 编程之美 4.6桶中取黑白球
  13. 推荐阅读《未来世界的幸存者》
  14. libreelec投屏_【树莓派】树莓派与XBMC及Kodi、LibreELEC插件(一)
  15. Django默认用户模型类和父类 AbstractUser 介绍
  16. 查询名字重复但不是相同的人的记录
  17. python输出今天的日期和今天的日期时间
  18. 深度学习和大数据之间,主要是什么关系?
  19. 安装配置绿色版MySQL5.6
  20. linux 下 `dirname $0`

热门文章

  1. 【人脸表情识别】情绪识别相关会议、比赛汇总(2018-2020)
  2. 全球与中国抗生素软膏市场运营现状十四五及前景规划分析报告2021-2027年版
  3. 域创实业谋定功能性-农业大健康·万祥军:借创新引领潮流
  4. MySQL入门篇(一)之MySQL部署
  5. Android插件化(使用Small框架)
  6. GCC安装UBUNTU
  7. servlet 初步 (四) session
  8. 干货!表达式树解析框架(3)
  9. 转-最常被程序员们谎称读过的计算机书籍
  10. 基于web的甘特图,易度甘特图edogantt!