思科交换机怎么配置能达到:防止同网段ARP攻击 如何配置交换机防止ARP攻击,解决方案
\u5982\u4f55\u914d\u7f6e\u4ea4\u6362\u673a\u9632\u6b62ARP\u653b\u51fbARP\u653b\u51fb\u662f\u5c40\u57df\u7f51\u653b\u51fb\u5e38\u89c1\u7684\u4e00\u79cd\uff0c\u79c1\u4eba\u6570\u636e\u4f1a\u88ab\u7a83\u53d6\u3002\u9632\u6b62ARP\u653b\u51fb\u6700\u5e38\u89c1\u7684\u65b9\u6cd5\u5c31\u662f\u5b89\u88c5ARP\u9632\u706b\u5899\uff0c\u5927\u90e8\u5206\u7535\u8111\u8f85\u52a9\u8f6f\u4ef6\u90fd\u6709\uff0c\u4ee5360\u4e3a\u4f8b\uff0c\u6253\u5f00\u5b89\u5168\u536b\u58eb\uff0c\u8fdb\u5165\u66f4\u591a \u2014\u2014\u70b9\u51fb\u6d41\u91cf\u9632\u706b\u5899\u2014\u2014\u5c40\u57df\u7f51\u9632\u62a4\u2014\u2014ARP\u4e3b\u52a8\u9632\u62a4\uff0c\u5f00\u542f\u5373\u53ef\u3002
\u6709\u7684\u4ea7\u54c1\u6709\u4e13\u7528\u7684arp\u9632\u653b\u51fb\u547d\u4ee4\uff0c\u5982\u679c\u6ca1\u6709\u5c31\u7528acl\u5339\u914darp\u7136\u540e\u9650\u901f\u5427
思科防ARP攻击,采用端口安全思科端口安全在违反安全规则后有三种处理模式,有两种解决方案
三种处理模式:
Shudown 这种方式保护能力最强,但是对于一些情况可能会为管理带来麻烦,如某台设备中了病毒,病毒间断性伪造源MAC在网络中发送报文。
Protect 丢弃非法流量,不报警
Restrict 丢弃非法流量,报警,对不上面会是交换机CPU利用率上升但是不影响交换机的正常使用。推荐使用这种方式。
两种解决方案:
MAC+IP绑定
设置最大学习MAC数量
一.MAC+IP绑定,此方法虽好,但是需要手工去登记各服务器MAC地址,太耗费人力。
配置方法:
1.进接口模式
2.switchport port-security //开启端口安全,此命令必敲,否则后面的配置不生效
3.switchport port-security mac-address aabb.ccdd.eeff //设置此端口下对应的MAC地址
4.switchport port-security violation restrict //设置违规方式为丢弃并报警
二.设置学习多少MAC地址后丢弃其他的ARP流量
1.进接口模式
2.switchport port-security //同上,必敲
3.switchport port-security maximum 5 //设置最多学习5个MAC地址
4.switchport port-security violation restrict //设置学习超过5个MAC地址后,将其他的ARP流量丢弃并报警。
思科防ARP欺骗,采用端口安全
思科端口安全在违反安全规则后有三种处理模式,有两种解决方案
三种处理模式:
Shudown 这种方式保护能力最强,但是对于一些情况可能会为管理带来麻烦,如某台设备中了病毒,病毒间断性伪造源MAC在网络中发送报文。
Protect 丢弃非法流量,不报警
Restrict 丢弃非法流量,报警,对不上面会是交换机CPU利用率上升但是不影响交换机的正常使用。推荐使用这种方式。
两种解决方案:
MAC+IP绑定
设置最大学习MAC数量
一.MAC+IP绑定,此方法虽好,但是需要手工去登记各服务器MAC地址,太耗费人力。
配置方法:
1.进接口模式
2.switchport port-security //开启端口安全,此命令必敲,否则后面的配置不生效
3.switchport port-security mac-address aabb.ccdd.eeff //设置此端口下对应的MAC地址
4.switchport port-security violation restrict //设置违规方式为丢弃并报警
二.设置学习多少MAC地址后丢弃其他的ARP流量
1.进接口模式
2.switchport port-security //同上,必敲
3.switchport port-security maximum 5 //设置最多学习5个MAC地址
4.switchport port-security violation restrict //设置学习超过5个MAC地址后,将其他的ARP流量丢弃并报警。
华为交换机设置防ARP欺骗
1.进接口模式int e0/3
2.mac-address max-mac-count 5 //设置最多学习5个MAC地址
你好!
主要做两种策略。
第一种是接入层的交换机做端口上的策略。
(0)将端口配置成接入模式端口
(1)开启端口安全
(2)限制端口MAC学习
(3)静态绑定端口MAC地址。
命令:
switchport mode access
switchport port-security
switchport port-security violation protect
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0021.9b6f.3b6c
第二种在核心三层交换机做ARP绑定。
在全局配置下:
ARP 192.168.1.1 0021.9148.bc84 ARPA
如上两种策略做好了。当某台电脑发出ARP攻击,那么只在会在自己电脑显示报错信息。
mac地址绑定端口
绛旓細涓.MAC+IP缁戝畾锛屾鏂规硶铏藉ソ锛屼絾鏄渶瑕佹墜宸ュ幓鐧昏鍚勬湇鍔″櫒MAC鍦板潃锛屽お鑰楄垂浜哄姏銆傞厤缃柟娉曪細1.杩涙帴鍙fā寮 2.switchport port-security //寮鍚鍙e畨鍏紝姝ゅ懡浠ゅ繀鏁诧紝鍚﹀垯鍚庨潰鐨勯厤缃笉鐢熸晥 3.switchport port-security mac-address aabb.ccdd.eeff //璁剧疆姝ょ鍙d笅瀵瑰簲鐨凪AC鍦板潃 4.switchport port-security...
绛旓細鍋氱鍙e畨鍏ㄥ氨鏄寚瀹氫氦鎹㈡満鍙兘鏈夊嚑涓彛鍙互涓婄綉锛屽鏋滃涓涓汉鎯抽氳繃鍏朵綑绔彛涓婄綉锛岀鍙e氨浼氶┈涓奷own鎺銆傚叾鍛戒护濡備笅锛歴(config)#int f0/1 锛涙兂涓嶈閭d釜绔彛涓婂氨鍦ㄩ偅涓鍙d笂閰嶇疆 s(config-if)#shut s(config-if)#switchport mode access s(config-if)#switchport port-security max 2 锛涘厑璁哥殑...
绛旓細鍙璇ヨ矾鐢卞櫒鎵撳紑浜咰EF鍔熻兘锛屾墍鏈夌嫭绔嬬殑缃戠粶鎺ュ彛閮藉彲浠ラ厤缃负鍏跺畠浜ゆ崲锛坰witching锛夋ā寮銆俁PF锛堝弽鍚戜紶杈撹矾寰勮浆鍙戯級灞炰簬鍦ㄤ竴涓綉缁滄帴鍙f垨瀛愭帴鍙d笂婵娲荤殑杈撳叆绔姛鑳斤紝澶勭悊璺敱鍣ㄦ帴鏀剁殑鏁版嵁鍖呫傚湪璺敱鍣ㄤ笂鎵撳紑CEF鍔熻兘鏄潪甯搁噸瑕佺殑锛屽洜涓篟PF蹇呴』渚濋潬CEF銆俇nicast RPF鍖呭惈鍦ㄦ敮鎸丆EF鐨凜isco IOS 12.0鍙婁互涓婄増鏈腑锛...
绛旓細涓夊眰浜ゆ崲: 閰嶇疆铏氭嫙鎺ュ彛鍜岀墿鐞嗘帴鍙P锛屽惎鐢―HCP涓户鍔熻兘銆係TP鍜孒SRP: 闃叉鐜矾骞剁‘淇濇晠闅滆浆绉伙紝鎻愬崌缃戠粶鍙敤鎬с傚叿浣撴搷浣滄紨绀1. 鏌ョ湅璺敱鍜岄厤缃ā寮: 鍦ㄧ壒鏉冩ā寮忎笅杈撳叆show ip route锛屼娇鐢╠o鍓嶇紑鏌ョ湅銆2. 閲嶅惎鍜屽熀鏈缃: enable, 浣跨敤erase鍛戒护閲嶇疆鍚姩閰嶇疆锛寃rite erase淇濆瓨鏇存敼锛宺eload閲嶅惎璁惧銆傝繘鍏ラ厤缃...
绛旓細杩欎釜寰堝ソ瀹炵幇锛浣犲彧闇瑕佸湪鍚勮嚜鐨凷VI鎺ュ彛鍔犱笂ACL灏卞ソ瀹炵幇浜锛屾瘮濡備綘瑕乿lan A鑳借闂 VlanB鐨勬煇涓鍙拌澶囷紝骞朵笖闃绘璁块棶C, D 閭d箞浣犻渶瑕佸鍔犲涓嬮厤缃細ip access-list extend ACL-A deny ip 192.168.0.0 0.0.0.255 host 192.168.0.10 deny ip 192.168.0.0 0.0.0.255 192.168.2.0 0...
绛旓細璁剧疆ACL璁块棶鎺у埗鍒楄〃銆備綘鐨勮姹備笉澶熷叿浣擄紝濡傛灉鏄樆姝LAN50鐨勬祦閲忓埌浠绘剰鍦版柟鐨勮瘽锛岄偅灏卞湪VLAN50鐨勪笁灞傛帴鍙d笂璁剧疆涓涓 鏍囧噯鐨刟cl灏辫浜嗭紝 deny any any
绛旓細鎬濈浜ゆ崲鏈虹殑閰嶇疆鏁欑▼ 棣栧厛浣犺鍒╃敤鐢佃剳瓒呯骇缁堢涓庝氦鎹㈡満寤虹珛杩炴帴锛屽湪缃戠粶绠$悊鐨勪氦鎹㈡満涓婃湁涓涓鍙o紝閫氳繃杩欎釜绔彛涓庝氦鎹㈡満杩炴帴锛屾寜鐓ф楠ゅ紑鍚秴绾х粓绔紝鐐瑰嚮寤虹珛杩炴帴锛屼箣鍚庝細寮瑰嚭涓涓璇濇锛岃緭鍏ヤ綘鐨勫悕绉帮紝鐐瑰嚮纭畾涔嬪悗杩樹細寮瑰嚭涓涓獥鍙o紝杩欎釜鏃跺欎綘閫夋嫨杩炴帴浣跨敤涓篶om1锛岀‘璁ゅ悗寮鍚氦鎹㈡満锛屾鏃朵氦鎹㈡満寮濮...
绛旓細5銆佺粰浜ゆ崲鏈洪厤缃浣胯兘瀵嗙爜锛岃繘鍏ョ壒鏉冩ā寮忔椂闇瑕佽緭鍏ュ瘑鐮佹墠鑳借繘鍏ワ紝閬垮厤璁惧鍙互琚叾浠栦汉鍛樹娇鐢ㄣ俢isco-sw1(config)#enable secret ciscoswitchps:secret琛ㄧず瀵嗙爜鐢ㄧ殑瀵嗘枃 6銆佷氦鎹㈡満閰嶇疆VLAN锛屽苟缁欏皢绔彛鍔犲叆鍒拌VLAN锛歝isco-sw1(config)#vlan 2cisco-sw1(config-vlan)#name testcisco-sw1(config-vlan)#...
绛旓細涓銆浜ゆ崲鏈璁块棶鎺у埗瀹夊叏閰嶇疆 1銆佸浜ゆ崲鏈虹壒鏉冩ā寮忚缃瘑鐮佸敖閲忛噰鐢ㄥ姞瀵嗗拰md5 hash鏂瑰紡 switch(config)#enable secret 5 pass_string 鍏朵腑 0 Specifies an UNENCRYPTED password will follow 5 Specifies an ENCRYPTED secret will follow 寤鸿涓嶈閲囩敤enable password pass_sting瀵嗙爜锛岀牬瑙e強鍏跺鏄!2銆佽缃...
绛旓細鍏峰鍏ㄦ柟浣嶇殑瀹夊叏闃叉姢鐗规э紝鑳芥湁鏁堥槻寰″悇绫荤綉缁滃▉鑳侊紝鍚屾椂鏀寔HTML5鍜孋SS3锛岀‘淇濅簡涓庢渶鏂扮綉缁滄妧鏈爣鍑嗙殑瀹岀編鍏煎銆傛浜嗚В鏇村鎴栫珛鍗充笅杞斤紝璇疯闂甴ttps://sogou.37moyu.com/ 鍩烘湰鎬濈涓夊眰浜ゆ崲鏈洪厤缃鍛戒护 1. 浜ゆ崲鏈烘敮鎸佺殑鍛戒护锛 浜ゆ崲鏈哄熀鏈姸鎬侊細switch: ;ROM鐘舵侊紝 璺敱鍣ㄦ槸rommon>hostname> ;鐢ㄦ埛妯″紡...
