針對目前出現的流行ARP欺騙攻擊行為，提出Cisco的解決方案。

但是，我實驗下來，這個能夠防止攻擊核心層Gateway，但是不能很有效的防止各VLAN間的攻擊，防止VLAN間的攻擊，我認為用VLAN內的VACL防止比較好，安全性能才能提高。

由于公司交換設備用的是OMNI 但是安全方面應該也有相關設置作簡單演示，不去深入

100    3/12   default     inactive  利用無用端口演示下

CISCO具體方案：

在全部是Cisco交換網絡里，可以通過幫定每臺設備的ip和mac地址可以解決。但是這樣做比較麻煩，可以用思科 Dynamic ARP Inspection 機制解決。 （*注釋：用port-security，必定是access口）

防范方法 ：

思科 Dynamic ARP Inspection （DAI）在交換機上提供IP地址和MAC地址的綁定， 并動態建立綁定關系。DAI 以 Snooping綁定表為基礎，對于沒有使用DHCP的服務器個別機器可以采用靜態添加ARP access-list實現。DAI配置針對VLAN，對于同一VLAN內的接口可以開啟DAI也可以關閉。通過DAI可以控制某個端口的ARP請求報文數量。所以，我認為，通過這樣的配置，可以解決ARP攻擊問題，更好的提高網絡安全性和穩定性。

配置：

IOS 全局命令：

IOS 接口命令：

對于沒有使用 DHCP 設備可以采用下面辦法：

配置DAI后的效果：

由于 DAI檢查 DHCP snooping綁定表中的IP和MAC對應關系，無法實施中間人攻擊，攻擊工具失效。下表為實施中間人攻擊是交換機的警告：

由于對 ARP請求報文做了速度限制，客戶端無法進行認為或者病毒進行的IP掃描、探測等行為，如果發生這些行為，交換機馬上報警或直接切斷掃描機器。如下表所示：

用戶獲取 IP地址后，用戶不能修改IP或MAC，如果用戶同時修改IP和MAC必須是網絡內部合法的IP和MAC才可，對于這種修改可以使用下面講到的 IP Source Guard技術來防范。下表為手動指定IP的報警：

DAI支持的平臺是3560以上吧，IP Source Guard 只有4500以上才能執行貌似。

【相關文章】

• 利用VLAN實現網絡性能優化

• VLAN的優越性