交换机防止ARP欺骗配置
ARP欺骗***原理:
ARP自动学习的目的,就是通讯的双方主机互相请求/告知MAC地址的过程,并以此完成的以太网帧交换,由于通讯的双向性,很显然如果任何一方的ARP信息是空或者错误的,那么就会使对方的ARP表项建立不正确,导致通讯失败。而ARP欺骗***就是频繁的发送错误消息欺骗网络通信的任何一方,最终使得双方的ARP表项不正确,导致不能正常通信。
...S3760为三层交换机,型号为RG-S3760-24
1、交换机地址绑定功能:
S3760(config)#address-bind 192.168.1.1 90e6.210f.2564
(绑定ip地址为192.168.1.1 MAC地址为90e6.210f.2564的主机让其使用网络)
①如果修改ip或是MAC地址,该主机则无法使用网络;
②交换机的address-bind功能是防止ip冲突,只有在交换机上绑定的才进行ip和MAC的匹配,如果下边用户设置的ip地址在交换机中没有绑定,交换机不对该数据包做控制,直接转发;
③交换机对已经绑定的IP进行MAC检查,如果不相同,丢弃该帧;对没有绑定的不检查,并照样转发该报文,建议在核心层使用。
2、交换机防主机欺骗用功能:
S3760(config)#interface fastethernet 0/1
S3760(config-if)#switchport port-security (开启端口安全功能)
S3760(config-if)#switchport port-security maximum 2 (配置安全地址的最大连接数)
S3760(config-if)#switchport port-security mac-address 1232.s563.4d50 ip-address 192.168.1.2
S3760(config-if)#switchport port-security violation {protect| restrict|shutdown}(违例的处理模式)
Protect:当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址);
Restrict:当违例产生时,将发送个Trap通知;
Shutdown:当违例产生时,将关闭端口,并发送一个Trap通知
!!!当端口因为违例而被关闭后,在全局模式下用errdisable recovery来将接口从错误状态中恢复过来。
!!!配置端口安全时有如下一些限制:
.一个安全端口不能是一个aggregate port。
..一个安全端口不能是SPAN的目的端口。
...一个安全端口只能是一个access port
3、防网关欺骗:
S3760(config)#interface range f0/1-24
S3760(config-range-if)#anti-arp-spoofing ip 192.168.1.3
(设置为网关IP地址,过滤所有自称是该IP的ARP报文)
对主机的网关进行欺骗就是cheater冒充网关给网内pc发大量的虚假报文(IP为网关的IP,MAC为虚假不存在的MAC),让网内pc学到假的网关信息以来达到欺骗的目的
!!!此命令我在型号为RG-S2026-24二层交换机上面配置,但是显示没有此命令,不知道是不是二层上面不支持此命令,或者我交换机的型号不支持。
4、防止主机使用非法的IP地址:
S3760(config)#arp 192.168.1.4 d230.35d6.25d1 arpa
将IP地址与MAC地址绑定,生成静态ARP地址表,如果用户自己修改IP底子好将无法收到数据包,如果将某个发包地址绑定成不存在的地址,将在一定程度阻止病毒泛滥。