网络通信 频道

ARP攻击专家会诊:切断传播途径六招

    方案三、部署"防ARP攻击"核心交换机


    对于网络预算比较紧张,无法在接入层部署ARP病毒防御的用户,可以部署支持"防ARP攻击"的核心交换机。下面是H3C相应的详细解决方案。
    
    情况一:局域网内PC动态分配IP地址,server静态分配地址
    解决方案要点:
    " 核心交换机启动DHCP Relay
    " 核心交换机启动授权ARP
    " 核心交换机配置静态ARP 绑定表(仅针对服务器、网关的ARP表)
    " 网关和Server设置定期发送免费ARP,或者在每台PC机上配置网关和Server静态IP/MAC绑定。

    情况二:局域网内PC和server均静态分配地址
    解决方案要点:
    " 核心交换机配置静态ARP 绑定表(PC、服务器、网关的ARP表)
    " 对于支持"一键绑定"的核心交换机,可以在其下挂PC终端都能正常上网时,一键配置将当前ARP绑定表设置为静态不可更改,简化ARP绑定表配置工作量。
    " 网关和Server设置定期发送免费ARP,或者在每台PC机上配置网关和Server静态IP/MAC绑定。

    方案局限性:
      这种方案能比较好地解决大部分ARP病毒攻击问题,各PC机上网、访问服务器都不会再有问题。 相比较"接入层交换机ARP病毒防御方案"成本低,但无法消除ARP病毒可能造成PC机之间不能通信的问题。
      当采用静态分配地址时,相对于授权ARP表项的自动生成方式,静态ARP的表项是要将局域网内所有PC机、server、网关的ARP表项静态配置完成,网络变化时需要修改ARP表,维护工作量比较大。

0
相关文章