交換機防止ARP欺騙配置
ARP欺騙***原理:
ARP自動學習的目的,就是通訊的雙方主機互相請求/告知MAC地址的過程,並以此完成的以太網幀交換,由於通訊的雙向性,很顯然如果任何一方的ARP信息是空或者錯誤的,那麼就會使對方的ARP表項建立不正確,導致通訊失敗。而ARP欺騙***就是頻繁的發送錯誤消息欺騙網絡通信的任何一方,最終使得雙方的ARP表項不正確,導致不能正常通信。
...S3760爲三層交換機,型號爲RG-S3760-24
1、交換機地址綁定功能:
S3760(config)#address-bind 192.168.1.1 90e6.210f.2564
(綁定ip地址爲192.168.1.1 MAC地址爲90e6.210f.2564的主機讓其使用網絡)
①如果修改ip或是MAC地址,該主機則無法使用網絡;
②交換機的address-bind功能是防止ip衝突,只有在交換機上綁定的才進行ip和MAC的匹配,如果下邊用戶設置的ip地址在交換機中沒有綁定,交換機不對該數據包做控制,直接轉發;
③交換機對已經綁定的IP進行MAC檢查,如果不相同,丟棄該幀;對沒有綁定的不檢查,並照樣轉發該報文,建議在覈心層使用。
2、交換機防主機欺騙用功能:
S3760(config)#interface fastethernet 0/1
S3760(config-if)#switchport port-security (開啓端口安全功能)
S3760(config-if)#switchport port-security maximum 2 (配置安全地址的最大連接數)
S3760(config-if)#switchport port-security mac-address 1232.s563.4d50 ip-address 192.168.1.2
S3760(config-if)#switchport port-security violation {protect| restrict|shutdown}(違例的處理模式)
Protect:當安全地址個數滿後,安全端口將丟棄未知名地址(不是該端口的安全地址);
Restrict:當違例產生時,將發送個Trap通知;
Shutdown:當違例產生時,將關閉端口,併發送一個Trap通知
!!!當端口因爲違例而被關閉後,在全局模式下用errdisable recovery來將接口從錯誤狀態中恢復過來。
!!!配置端口安全時有如下一些限制:
.一個安全端口不能是一個aggregate port。
..一個安全端口不能是SPAN的目的端口。
...一個安全端口只能是一個access port
3、防網關欺騙:
S3760(config)#interface range f0/1-24
S3760(config-range-if)#anti-arp-spoofing ip 192.168.1.3
(設置爲網關IP地址,過濾所有自稱是該IP的ARP報文)
對主機的網關進行欺騙就是cheater冒充網關給網內pc發大量的虛假報文(IP爲網關的IP,MAC爲虛假不存在的MAC),讓網內pc學到假的網關信息以來達到欺騙的目的
!!!此命令我在型號爲RG-S2026-24二層交換機上面配置,但是顯示沒有此命令,不知道是不是二層上面不支持此命令,或者我交換機的型號不支持。
4、防止主機使用非法的IP地址:
S3760(config)#arp 192.168.1.4 d230.35d6.25d1 arpa
將IP地址與MAC地址綁定,生成靜態ARP地址表,如果用戶自己修改IP底子好將無法收到數據包,如果將某個發包地址綁定成不存在的地址,將在一定程度阻止病毒氾濫。