如今很多交換機(jī)都能夠防止ARP攻擊核心層Gateway，但是不能很有效的防止各VLAN間的攻擊，防止VLAN間的攻擊，我認(rèn)為用VLAN內(nèi)的VACL防止比較好，安全性能才能提高。

　　由于公司交換設(shè)備用的是OMNI 但是安全方面應(yīng)該也有相關(guān)設(shè)置作簡(jiǎn)單演示，不去深入100 3/12 default inactive 利用無(wú)用端口演示下:       


　　CISCO具體方案：
　　在全部是Cisco交換網(wǎng)絡(luò)里，可以通過(guò)幫定每臺(tái)設(shè)備的ip和mac地址可以解決。但是這樣做比較麻煩，可以用思科 Dynamic ARP Inspection 機(jī)制解決。 (*注釋：用port-security，必定是access口)

　　防范方法 ：

　　思科 Dynamic ARP Inspection (DAI)在交換機(jī)上提供IP地址和MAC地址的綁定， 并動(dòng)態(tài)建立綁定關(guān)系。DAI 以 DHCP Snooping綁定表為基礎(chǔ)，對(duì)于沒(méi)有使用DHCP的服務(wù)器個(gè)別機(jī)器可以采用靜態(tài)添加ARP access-list實(shí)現(xiàn)。DAI配置針對(duì)VLAN，對(duì)于同一VLAN內(nèi)的接口可以開(kāi)啟DAI也可以關(guān)閉。通過(guò)DAI可以控制某個(gè)端口的ARP請(qǐng)求報(bào)文數(shù)量。所以，我認(rèn)為，通過(guò)這樣的配置，可以解決ARP攻擊問(wèn)題，更好的提高網(wǎng)絡(luò)安全性和穩(wěn)定性。

　　配置：

　　IOS 全局命令：



　　IOS 接口命令： 

　對(duì)于沒(méi)有使用 DHCP 設(shè)備可以采用下面辦法： 


　　配置DAI后的效果：

　　由于 DAI檢查 DHCP snooping綁定表中的IP和MAC對(duì)應(yīng)關(guān)系，無(wú)法實(shí)施中間人攻擊，攻擊工具失效。下表為實(shí)施中間人攻擊是交換機(jī)的警告： 

 


　　由于對(duì) ARP請(qǐng)求報(bào)文做了速度限制，客戶端無(wú)法進(jìn)行認(rèn)為或者病毒進(jìn)行的IP掃描、探測(cè)等行為，如果發(fā)生這些行為，交換機(jī)馬上報(bào)警或直接切斷掃描機(jī)器。如下表所示： 

      




　　用戶獲取 IP地址后，用戶不能修改IP或MAC，如果用戶同時(shí)修改IP和MAC必須是網(wǎng)絡(luò)內(nèi)部合法的IP和MAC才可，對(duì)于這種修改可以使用下面講到的 IP Source Guard技術(shù)來(lái)防范。下表為手動(dòng)指定IP的報(bào)警：




　　DAI支持的平臺(tái)是3560以上吧，IP Source Guard 只有4500以上才能執(zhí)行貌似。

最新評(píng)論