Cisco:防止VLAN間的ARP攻擊解決方案

2019-11-02 16:42:43

字體：大中小

來源：轉載

供稿：網友

如今很多交換機都能夠防止ARP攻擊核心層Gateway，但是不能很有效的防止各VLAN間的攻擊，防止VLAN間的攻擊，我認為用VLAN內的VACL防止比較好，安全性能才能提高。

　　由于公司交換設備用的是OMNI 但是安全方面應該也有相關設置作簡單演示，不去深入100 3/12 default inactive 利用無用端口演示下:

復制代碼代碼如下:

6602-SHA-15F> port-security 3/12 enable

　　6602-SHA-15F> port-security 3/12 maximum 10

　　6602-SHA-15F> port-security 3/12 violation ?

　　SHUTDOWN RESTRICT

　　CISCO具體方案：

　　在全部是Cisco交換網絡里，可以通過幫定每臺設備的ip和mac地址可以解決。但是這樣做比較麻煩，可以用思科 Dynamic ARP Inspection 機制解決。 (*注釋：用port-security，必定是access口)

　　防范方法：

　　思科 Dynamic ARP Inspection (DAI)在交換機上提供IP地址和MAC地址的綁定，并動態建立綁定關系。DAI 以 DHCP Snooping綁定表為基礎，對于沒有使用DHCP的服務器個別機器可以采用靜態添加ARP access-list實現。DAI配置針對VLAN，對于同一VLAN內的接口可以開啟DAI也可以關閉。通過DAI可以控制某個端口的ARP請求報文數量。所以，我認為，通過這樣的配置，可以解決ARP攻擊問題，更好的提高網絡安全性和穩定性。

　　配置：

　　IOS 全局命令：

復制代碼代碼如下:

ip dhcp snooping vlan 100,200 ,300,400

　　no ip dhcp snooping information option

　　ip dhcp snooping

　　ip arp inspection vlan 100,200 ,300,400

　　ip arp inspection log-buffer entries 1024

　　ip arp inspection log-buffer logs 1024 interval 10

　　IOS 接口命令：

復制代碼代碼如下:

ip dhcp snooping trust