win7系統下載
當前位置: 首頁 > 網絡技術教程 > 詳細頁面

Cisco:防范VLAN間的ARP攻擊處理方案

發布時間:2022-04-28 文章來源:xp下載站 瀏覽:

網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。

如今很多交換機都能夠防止ARP攻擊核心層Gateway,但是不能很有效的防止各VLAN間的攻擊,防止VLAN間的攻擊,我認為用VLAN內的VACL防止比較好,安全性能才能提高。

由于公司交換設備用的是OMNI 但是安全方面應該也有相關設置作簡單演示,不去深入100 3/12 default inactive 利用無用端口演示下:

CISCO具體方案:

在全部是Cisco交換網絡里,可以通過幫定每臺設備的ip和mac地址可以解決。但是這樣做比較麻煩,可以用思科 Dynamic ARP Inspection 機制解決。 (*注釋:用port-security,必定是access口)

防范方法 :

思科 Dynamic ARP Inspection (DAI)在交換機上提供IP地址和MAC地址的綁定, 并動態建立綁定關系。DAI 以 Snooping綁定表為基礎,對于沒有使用DHCP的服務器個別機器可以采用靜態添加ARP access-list實現。DAI配置針對VLAN,對于同一VLAN內的接口可以開啟DAI也可以關閉。通過DAI可以控制某個端口的ARP請求報文數量。所以,我認為,通過這樣的配置,可以解決ARP攻擊問題,更好的提高網絡安全性和穩定性。

配置:

IOS 全局命令:

IOS 接口命令:

對于沒有使用 DHCP 設備可以采用下面辦法:

配置DAI后的效果:

由于 DAI檢查 DHCP snooping綁定表中的IP和MAC對應關系,無法實施中間人攻擊,攻擊工具失效。下表為實施中間人攻擊是交換機的警告:

由于對 ARP請求報文做了速度限制,客戶端無法進行認為或者病毒進行的IP掃描、探測等行為,如果發生這些行為,交換機馬上報警或直接切斷掃描機器。如下表所示:

用戶獲取 IP地址后,用戶不能修改IP或MAC,如果用戶同時修改IP和MAC必須是網絡內部合法的IP和MAC才可,對于這種修改可以使用下面講到的 IP Source Guard技術來防范。下表為手動指定IP的報警:

DAI支持的平臺是3560以上吧,IP Source Guard 只有4500以上才能執行貌似。


網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。

本文章關鍵詞: Cisco VLAN ARP攻擊 

相關文章

主站蜘蛛池模板: 91精品国产色综合久久| 色婷婷综合久久久久中文字幕| 色综合久久中文综合网| 99久久国产综合精品网成人影院| 久久91精品久久91综合| 欧美国产综合欧美视频| 亚洲综合亚洲综合网成人| 青青青国产色视频在线观看国产亚洲欧洲国产综合 | 亚洲 欧美 日韩 综合aⅴ视频 | 久久综合国产乱子伦精品免费| 伊人丁香狠狠色综合久久| 日韩欧美国产综合| 欧美在线观看综合国产| 婷婷丁香五月激情综合| 亚洲丁香色婷婷综合欲色啪| 亚洲人成网站999久久久综合| 久久精品桃花综合| 中文网丁香综合网| 一本色道久久88综合日韩精品 | 亚洲国产天堂久久综合网站| 亚洲国产综合网| 国产色综合一区二区三区| 久久婷婷五月综合97色直播| 色综合久久中文字幕综合网| 色噜噜狠狠成人中文综合| 亚洲精品二区国产综合野狼| 久久久久久久综合狠狠综合| 无翼乌无遮挡全彩老师挤奶爱爱帝国综合社区精品 | 欧美激情综合五月色丁香| 国产欧美视频综合二区| 欲香欲色天天综合和网| 色8激情欧美成人久久综合电| 国产精品天干天干综合网| 亚洲中文字幕无码久久综合网 | 激情97综合亚洲色婷婷五| 日日AV色欲香天天综合网| 狠狠色丁香婷综合久久| 天天影视色香欲综合久久| 五月综合激情网| 狠狠色丁香婷婷综合久久来 | 亚洲欧洲国产成人综合在线观看|