国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　在S3026C-A系統(tǒng)視圖下發(fā)acl規(guī)則：

　　[S3026C-A] packet-filter user-group 5000

　　這樣只有S3026C_A上連設(shè)備才能夠發(fā)送網(wǎng)關(guān)的報文，其它主機(jī)都不能發(fā)送假冒網(wǎng)關(guān)的arp響應(yīng)報文。

　　1.2 三層實現(xiàn)防攻擊

　　1.2.1 配置組網(wǎng)

　　圖2 三層交換機(jī)防ARP攻擊組網(wǎng)

　　1.2.2 防攻擊配置舉例

　　對于三層設(shè)備，需要配置過濾源IP是網(wǎng)關(guān)的ARP報文的ACL規(guī)則，配置如下ACL規(guī)則：

　　acl number 5000

　　rule 0 deny 0806 ffff 24 64010105 ffffffff 40

　　rule0禁止S3526E的所有端口接收冒充網(wǎng)關(guān)的ARP報文，其中斜體部分64010105是網(wǎng)關(guān)IP地址100.1.1.5的16進(jìn)制表示形式。

　　2 仿冒他人IP的arp攻擊

　　作為網(wǎng)關(guān)的設(shè)備有可能會出現(xiàn)ARP錯誤表項，因此在網(wǎng)關(guān)設(shè)備上還需對仿冒他人IP的ARP攻擊報文進(jìn)行過濾。

　　如圖1所示，當(dāng)PC-B發(fā)送源IP地址為PC-D的arp reply攻擊報文，源是PC-B的mac (000d-88f8-09fa)，源ip是PC-D的ip(100.1.1.3)，目的ip和mac是網(wǎng)關(guān)(3552P)的，這樣3552上就會學(xué)習(xí)錯誤的arp，如下所示：

　　--------------------- 錯誤 arp 表項 --------------------------------

　　IP Address MAC Address VLAN ID Port Name Aging Type

　　100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic

　　100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20 Dynamic

　　從網(wǎng)絡(luò)連接可以知道PC-D的arp表項應(yīng)該學(xué)習(xí)到端口E0/8上，而不應(yīng)該學(xué)習(xí)到E0/2端口上。但實際上交換機(jī)上學(xué)習(xí)到該ARP表項在E0/2.通過如下配置方法可以防止這類ARP的攻擊。

　　一、在S3552上配置靜態(tài)ARP，可以防止該現(xiàn)象：

　　arp static 100.1.1.3 000f-3d81-45b4 1 e0/8

　　二、同理在圖2 S3526C上也可以配置靜態(tài)ARP來防止設(shè)備學(xué)習(xí)到錯誤的ARP表項。

　　三、對于二層設(shè)備(S3050C和S3026E系列)，除了可以配置靜態(tài)ARP外，還可以配置IP+MAC+port綁定，比如在S3026C端口E0/4上做如下操作：

　　am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4

　　則IP為100.1.1.4并且MAC為000d-88f8-09fa的ARP報文可以通過E0/4端口，仿冒其它設(shè)備的ARP報文則無法通過，從而不會出現(xiàn)錯誤ARP表項。

　　上述配置案例中僅僅列舉了部分Quidway S系列以太網(wǎng)交換機(jī)的應(yīng)用。在實際的網(wǎng)絡(luò)應(yīng)用中，請根據(jù)配置手冊確認(rèn)該產(chǎn)品是否支持用戶自定義ACL和地址綁定。僅僅具有上述功能的交換機(jī)才能防止ARP欺騙。