很多交換機都能夠防止ARP攻擊核心層Gateway ， 但是不能很有效的防止各VLAN間的攻擊 ， 防止VLAN間的攻擊 ， 我認為用VLAN內的VACL防止比較好 ， 安全性能才能提高 。
由于公司交換設備用的是OMNI 但是安全方面應該也有相關設置作簡單演示 ， 不去深入
100;3/12default;;inactive; 利用無用端口演示下
【Cisco交換機如何防止VLAN間的ARP攻擊】6602-SHA-15F> port-security 3/12 enable6602-SHA-15F> port-security 3/12 maximum 106602-SHA-15F> port-security 3/12 violation ?　^　SHUTDOWN RESTRICT
CISCO具體方案：
在全部是Cisco交換網(wǎng)絡里 ， 可以通過幫定每臺設備的ip和mac地址可以解決 。但是這樣做比較麻煩 ， 可以用思科 Dynamic ARP Inspection 機制解決 。（*注釋：用port-security ， 必定是access口）
防范方法 ：
思科 Dynamic ARP Inspection （DAI）在交換機上提供IP地址和MAC地址的綁定 ， 并動態(tài)建立綁定關系 。DAI 以 DHCP Snooping綁定表為基礎 ， 對于沒有使用DHCP的服務器個別機器可以采用靜態(tài)添加ARP access-list實現(xiàn) 。DAI配置針對VLAN ， 對于同一VLAN內的接口可以開啟DAI也可以關閉 。通過DAI可以控制某個端口的ARP請求報文數(shù)量 。所以 ， 我認為 ， 通過這樣的配置 ， 可以解決ARP攻擊問題 ， 更好的提高網(wǎng)絡安全性和穩(wěn)定性 。
　配置：
IOS 全局命令：
ip dhcp snooping vlan 100,200 ,300,400no ip dhcp snooping information option ip dhcp snooping ip arp inspection vlan 100,200 ,300,400ip arp inspection log-buffer entries 1024 ip arp inspection log-buffer logs 1024 interval 10
IOS 接口命令：
ip dhcp snooping trust ip arp inspection trust ip arp inspection limit rate 15
對于沒有使用 DHCP 設備可以采用下面辦法：
arp access-list static-arp permit ip host 202.65.3.42 mac host 0012.3F82.1B22ip arp inspection filter static-arp vlan 201
配置DAI后的效果：
由于 DAI檢查 DHCP snooping綁定表中的IP和MAC對應關系 ， 無法實施中間人攻擊 ， 攻擊工具失效 。下表為實施中間人攻擊是交換機的警告：
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16, vlan 1.([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2
由于對 ARP請求報文做了速度限制 ， 客戶端無法進行認為或者病毒進行的IP掃描、探測等行為 ， 如果發(fā)生這些行為 ， 交換機馬上報警或直接切斷掃描機器 。如下表所示：
3w0d: %SW_DAI-4-PACKET_RATE_EXCEEDED: 16 packets received in 184 millisecondson Fa5/30. ******報警 3w0d: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa5/30, putting Fa5/ 30 in err-disable state ******切斷端口 4500-1#sh int f 5/30 FastEthernet5/30 is down, line protocol is down (err-disabled) Hardware is Fast Ethernet Port , address is 0002.b90e .3f 4d (bia 0002.b90e .3f 4d) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 4500-1#
用戶獲取 IP地址后 ， 用戶不能修改IP或MAC ， 如果用戶同時修改IP和MAC必須是網(wǎng)絡內部合法的IP和MAC才可 ， 對于這種修改可以使用下面講到的 IP Source Guard技術來防范 。下表為手動指定IP的報警：
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/30, vlan 1.([000d.6078.2d95/192.168.1.100/0000.0000.0000/192.168.1.100/01:52:28 UTC FriDec 29 2000 ])
DAI支持的平臺是3560以上吧 ， IP Source Guard 只有4500以上才能執(zhí)行貌似 。

推薦閱讀

• 

  如何用微波爐做紅燒肉
• 

  與16歲的女生發(fā)生性關系，是否算強奸
• 

  請君入眠漫畫有小說嗎 請君入眠漫畫有同名小說嗎
• 

  lol至高天是限定嗎
• 

  錦州周邊旅游景點大全
• 

  寫著僅干洗的衣服可以水洗，建議干洗的衣服可以水洗嗎
• 

  藍雪花怎么造型
• 

  端午節(jié)是農歷幾月初幾 重陽節(jié)是幾月初幾
• 

  什么是玉米
• 

  夏普電視售后服務熱線：維修、投訴、咨詢電話一覽
• 

  墻紙怎么撕下來才干凈？撕墻紙小妙招
• 

  海棠花哪個品種最為名貴
• 

  閑魚怎么看芝麻信用分
• 

  貓為什么流哈喇子 貓為什么會突然流口水是怎么回事
• 

  長安幻世繪四星妖魂拓片怎么弄
• 

  煙灰水澆什么花好

• 硅膠膠皮如何粘在一起
• 如何理解網(wǎng)絡交換機的工作原理
• 如何解決銅氨絲的起球情況
• 如何算抄襲
• 交換機端口“假死” 如何起死回生?
• 交換機使用常見疑難問題集錦
• 如何正確給兔飼喂蔬菜
• D級危房如何鑒定
• Cisco3550實現(xiàn)MAC和交換機端口綁定
• 技術基礎 交換機交換的三種方式