交换机防护ARP欺骗的问题?
- 0关注
- 2收藏,3232浏览
问题描述:
请教,
在h3c交换机中,
配置防止客户机发出ARP网关欺骗的命令是什么的呀?
V5与V7的命令分别是什么的呀?(我想要的是防止ARP欺骗攻击,客户机冒充网关导致其它客户机误以为它就是网关而存在的安全隐患,有什么办法在交换机上防护,意思是这样的)
谢谢。
- 2017-11-12提问
- 举报
-
(0)
最佳答案
http://www.h3c.com/cn/d_201706/1009766_30005_0.htm
ARP网关保护功能简介
在设备上不与网关相连的接口上配置此功能,可以防止伪造网关攻击。
在接口上开启此功能后,当接口收到ARP报文时,将检查ARP报文的源IP地址是否和配置的被保护网关的IP地址相同。如果相同,则认为此报文非法,将其丢弃;否则,认为此报文合法,继续进行后续处理。
1.11.2 开启ARP网关保护功能
开启ARP网关保护功能,需要注意:
· 每个接口最多支持配置8个被保护的网关IP地址。
· 不能在同一接口下同时配置命令arp filter source和arp filter binding。
· 本功能与ARP Detection、MFF、ARP Snooping和ARP快速应答功能配合使用时,先进行本功能检查,本功能检查通过后才会进行其他配合功能的处理。
表1-20 开启ARP网关保护功能
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
进入二层以太网接口/二层聚合接口视图 | interface interface-type interface-number | - |
开启ARP网关保护功能,配置被保护的网关IP地址 | arp filter source ip-address | 缺省情况下,ARP网关保护功能处于关闭状态 |
1.11.3 ARP网关保护功能配置举例
1. 组网需求
与Device B相连的Host B进行了仿造网关Device A(IP地址为10.1.1.1)的ARP攻击,导致与Device B相连的设备与网关Device A通信时错误发往了Host B。
要求:通过配置防止这种仿造网关攻击。
2. 组网图
图1-6 配置ARP网关保护功能组网图
3. 配置步骤
# 在Device B上开启ARP网关保护功能。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] arp filter source 10.1.1.1
[DeviceB-GigabitEthernet1/0/1] quit
[DeviceB] interface gigabitethernet 1/0/2
[DeviceB-GigabitEthernet1/0/2] arp filter source 10.1.1.1
- 2017-11-12回答
- 评论(2)
- 举报
-
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
非常感谢。
另外想问一下,这个是V5还是V7的命令的呀?