第1个回答 2013-03-31
思科防ARP欺骗,采用端口安全
思科端口安全在违反安全规则后有三种处理模式,有两种解决方案
三种处理模式:
Shudown 这种方式保护能力最强,但是对于一些情况可能会为管理带来麻烦,如某台设备中了病毒,病毒间断性伪造源MAC在网络中发送报文。
Protect 丢弃非法流量,不报警
Restrict 丢弃非法流量,报警,对不上面会是交换机CPU利用率上升但是不影响交换机的正常使用。推荐使用这种方式。
两种解决方案:
MAC+IP绑定
设置最大学习MAC数量
一.MAC+IP绑定,此方法虽好,但是需要手工去登记各服务器MAC地址,太耗费人力。
配置方法:
1.进接口模式
2.switchport port-security //开启端口安全,此命令必敲,否则后面的配置不生效
3.switchport port-security mac-address aabb.ccdd.eeff //设置此端口下对应的MAC地址
4.switchport port-security violation restrict //设置违规方式为丢弃并报警
二.设置学习多少MAC地址后丢弃其他的ARP流量
1.进接口模式
2.switchport port-security //同上,必敲
3.switchport port-security maximum 5 //设置最多学习5个MAC地址
4.switchport port-security violation restrict //设置学习超过5个MAC地址后,将其他的ARP流量丢弃并报警。
华为交换机设置防ARP欺骗
1.进接口模式int e0/3
2.mac-address max-mac-count 5 //设置最多学习5个MAC地址
第2个回答 推荐于2017-05-21
你好!
主要做两种策略。
第一种是接入层的交换机做端口上的策略。
(0)将端口配置成接入模式端口
(1)开启端口安全
(2)限制端口MAC学习
(3)静态绑定端口MAC地址。
命令:
switchport mode access
switchport port-security
switchport port-security violation protect
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0021.9b6f.3b6c
第二种在核心三层交换机做ARP绑定。
在全局配置下:
ARP 192.168.1.1 0021.9148.bc84 ARPA
如上两种策略做好了。当某台电脑发出ARP攻击,那么只在会在自己电脑显示报错信息。本回答被网友采纳