解決步驟:
交換機:
(包括中間經過的所有交換機上都要作,如果中間有交換機不支持的話,哪就還是會有這個問題,但是會減少影響範圍)
1。作ACL 5000的只允許網關的MAC來發ARP廣播。其它的PC不能發這個網關IP的ARP廣播。.
(1)全局配置deny 所有源IP是網關的arp報文(自定義規則)
ACL num 5000
rule 0 deny 0806 ffff 24 64010101 ffffffff 40
rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34
rule0目的:把整個交換機端口冒充網關的ARP報文禁掉,其中64010101是網關ip地址的16進製表示形式:100.1.1.1=64010101。
rule1目的:把網關ARP報文允許通過,網關的mac地址000f-e200-3999。
在Switch系統視圖下發acl規則:
[Switch-Ethernet 1/0/1]packet-filter user-group 5000
這樣只有Switch上連設備能夠下發網關的ARP報文,其它pc就不能發送假冒網關的arp響應報文。
2。可以作AM綁定。
am user-bind ip x.x.x.x mac h-h-h inter g x/0/x
3。再可以作ARP STATIC靜態ARP表項。
arp static x.x.x.x h-h-h
這樣子可以防止冒充網關
PC上
1。可以作一個批處理,每次啓動時,都應用一下。
這個文件內容就是:arp -s 網關的IP 網關的MAC
這樣是防止PC學習其它的網關IP的ARP項。
2。還要注意就是病毒是我們的源頭,要注意定期全網殺一次。