《二层交换机防止同网段ARP欺骗攻击的配置方法》由会员分享,可在线阅读,更多相关《二层交换机防止同网段ARP欺骗攻击的配置方法(2页珍藏版)》请在金锄头文库上搜索。
1、二层交换机防止同网段 ARP 欺骗攻击的配置方法二层交换机实现仿冒网关的 ARP 防攻击:一、组网需求:1. 二层交换机阻止网络用户仿冒网关 IP 的 ARP 攻击二、组网图: 11162.jpg图 1 二层交换机防 ARP 攻击组网S3552P 是三层设备,其中 IP:100.1.1.1 是所有 PC 的网关,S3552P 上的网关MAC 地址为 000f-e200-3999。PC-B 上装有 ARP 攻击软件。现在需要对S3026C_A 进行一些特殊配置,目的是过滤掉仿冒网关 IP 的 ARP 报文。三、配置步骤对于二层交换机如 S3026C 等支持用户自定义 ACL(number 为 5
2、000 到 5999)的交换机,可以配置 ACL 来进行 ARP 报文过滤。全局配置 ACL 禁止所有 Sender ip address 字段是网关 IP 地址的 ARP 报文acl num5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中 rule0 把整个 S3026C_A 的端口冒充网关的 ARP Reply 报文禁掉,其中斜体部分 64010101 是网关 IP 地址 100.1.1.1 的 16 进制表示形式。Rule1 允许通过网关发送的 ARP 报文,斜体部分为网关的 mac 地址 000f-e200-3999。注意:配置 Rule 时的配置顺序,上述配置为先下发后生效的情况。在 S3026C-A 系统视图下发 acl 规则:S3026C-A packet-filter user-group 5000 这样只有 S3026C_A 上连网关设备才能够发送网关的 ARP 报文,其它主机都不能发送假冒网关的 arp 响应报文。