1. 對於三層裝置自己作為閘道器,需要配置過濾sender ip address欄位是閘道器的arp報文的acl規則,配置如下acl規則:
acl number 5000
rule 0 deny 0806 ffff 24 64010105 ffffffff 40
rule0禁止s3526e的所有埠接收冒充閘道器的arp報文,其中斜體部分***是閘道器ip位址100.1.1.5的16進製表示形式。
2. 下發acl到全域性
[s3526e] packet-filter user-group 5000
仿冒他人ip的arp防攻擊
一、組網需求:
作為閘道器的裝置有可能會出現錯誤arp的表項,因此在閘道器裝置上還需對使用者仿冒他人ip的arp攻擊報文進行過濾。
二、組網圖:
參見圖1和圖2
三、配置步驟:
1. 如圖1所示,當pc-b傳送源ip位址為pc-d的arp reply攻擊報文,源mac是pc-b的mac (000d-88f8-09fa),源ip是pc-d的ip(100.1.
1.3),目的ip和mac是閘道器(3552p)的,這樣3552上就會學習到錯誤的arp,如下所示:
錯誤 arp 表項
ip address mac address vlan id port name aging type
100.1.1.4 000d-88f8-09fa 1 ethernet0/2 20 dynamic
100.1.1.3 000f-3d81-45b4 1 ethernet0/2 20 dynamic
從網路連線可以知道pc-d的arp表項應該學習到埠e0/8上,而不應該學習到e0/2埠上。但實際上交換機上學習到該arp表項在e0/2。上述現象可以在s3552上配置靜態arp實現防攻擊:
arp static 100.1.1.3 000f-3d81-45b4 1 e0/8
2. 在圖2 s3526c上也可以配置靜態arp來防止裝置學習到錯誤的arp表項。
3. 對於二層裝置(s3050c和s3026e系列),除了可以配置靜態arp外,還可以配置ip+mac+port繫結,比如在s3026c埠e0/4上做如下操作:
am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4
則ip為100.1.1.4並且mac為000d-88f8-09fa的arp報文可以通過e0/4埠,仿冒其它裝置的arp報文則無法通過,從而不會出現錯誤arp表項。
四、配置關鍵點:
此處僅僅列舉了部分quidway s系列乙太網交換機的應用。在實際的網路應用中,請根據配置手冊確認該產品是否支援使用者自定義acl和位址繫結。僅僅具有上述功能的交換機才能防止arp欺騙。
交換機互聯不同vlan及不同網段通訊問題總結解析
作者 北京 慕容 第一節前言 這幾天群裡常聊到關於交換機打 tag 以及兩台二層交換機互聯不同 vlan 是否能通的問題,也因此引發了很多討論,我個人也私底下拿真機充分的做了實驗,覺得挺有意思對底層知識也是個考驗,但由於情況有好幾種,一兩句話恐怕說不清楚,正好群裡朋友也希望寫個總結,所以才誕生這份文...