对于交换机,园区网来说,有什么好的方法去防护ARP击之类的,有没有比较好的方法和配置案例,谢谢!
对于交换机,园区网来说,有什么好的方法去防护ARP击之类的,有没有比较好的方法和配置案例,谢谢!
(0)
最佳答案
可参考如下配置举例:
某局域网内存在两个区域:研发区和办公区,分别属于VLAN 10和VLAN 20,通过接入交换机连接到网关Device,如图1-1所示。
网络管理员在监控网络时发现办公区存在大量ARP请求报文,通过分析认为存在IP泛洪攻击,为避免这种IP报文攻击所带来的危害,可采用ARP源抑制功能和ARP黑洞路由功能。
图1-1 ARP防止IP报文攻击配置组网图
对攻击报文进行分析,如果发送攻击报文的源地址是固定的,采用ARP源抑制功能。在Device上做如下配置:
· 开启ARP源抑制功能;
· 配置ARP源抑制的阈值为100,即当每5秒内的ARP请求报文的流量超过100后,对于由此IP地址发出的IP报文,设备不允许其触发ARP请求,直至5秒后再处理。
如果发送攻击报文的源地址是不固定的,则采用ARP黑洞路由功能,在Device上配置ARP黑洞路由功能。
· 配置ARP源抑制功能
# 开启ARP源抑制功能,并配置ARP源抑制的阈值为100。
<Device> system-view
[Device] arp source-suppression enable
[Device] arp source-suppression limit 100
· 配置ARP黑洞路由功能
# 开启ARP黑洞路由功能。
[Device] arp resolving-route enable
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论