桶装矿泉水设备:公司网络最近出现了ARP欺骗的问题,现象就是在交换机的ARP表里N台电脑对应同一MAC地址,解决办法当然是找到那台发包的电脑就OK了,但不是根本之道啊 在以前的公司我利用自产的交换机的在接入层交换机

来源:百度文库 编辑:欧普网 时间:2019/11/17 17:31:13
公司网络最近出现了ARP欺骗的问题,现象就是在交换机的ARP表里N台电脑对应同一MAC地址,解决办法当然是找到那台发包的电脑就OK了,但不是根本之道啊

在以前的公司我利用自产的交换机的在接入层交换机除了上联端口外禁止了ARP响应包,这样从根本上杜绝了ARP病毒的传播,但现在的环境是思科机上怎么做同样的设置呢?


我在网上找到了一些资料, 不知道哪位做过的DX指点一下

5600系列防ARP的ACL做法!!
以前很多人在这里发相关的防ARP的ACL。但是一直都讲得不是很清楚!在这里我给大家详细讲一下!!

acl number 5000
rule 0 deny 0806 ffff 20 c0a801fe ffffffff 36
rule 1 permit 0806 ffff 20 000fe22306b4 ffffffffffff 30
acl number 5001
rule 0 deny 0806 ffff 20 c0a802fe ffffffff 36
rule 1 permit 0806 ffff 20 000fe22306b4 ffffffffffff 30


0806不用说了!!!
FFFF这个也不用说了!
20是偏移位为20。c0a801fe是IP 192.168.1.254的十六进制表示方法/000fe22306b4为192。168。1。254对应的MAC,另外36是5600的IP偏移位。30是MAC偏移位!不同的产品有不同的偏移位!我是问产品经理得到的!

IBM“人机大战”趣味问答| 2010您最想感谢的CUer是谁? | 微软开发资料免费下载| TCP/IP实现刨根究底大讨论! sandss
  • 发短消息
  • 加为好友

sandss 当前离线

UID
186252 
帖子
35 
精华
0 
积分
734 
可用积分
734  
信誉积分
100  
专家积分
0 (本版:)
空间积分
809  
阅读权限
20 
在线时间
1 小时 
注册时间
2006-04-14 
最后登录
2011-02-16 

侠客

  

帖子
35 
主题
7 
精华
0 
可用积分
734  
专家积分
0 (本版:0)
在线时间
1 小时 
注册时间
2006-04-14 
最后登录
2011-02-16 

状态:...当前离线...

[微博] [博客] [短信]

[报告] 2发表于 2007-07-21 22:15 | 只看该作者

 

我也遇到了,有空一起讨论,12980007

IBM“人机大战”趣味问答| 2010您最想感谢的CUer是谁? | 微软开发资料免费下载| TCP/IP实现刨根究底大讨论! cnadl

观水者 沧海·星河

  • 发短消息
  • 加为好友

cnadl 当前离线

观水者 沧海·星河

UID
7759136 
帖子
4742 
精华
0 
积分
3435 
可用积分
3435  
信誉积分
100  
专家积分
75 (本版:55)
空间积分
0  
阅读权限
50 
性别
男 
来自
★梦幻☆忘情之都 
在线时间
783 小时 
注册时间
2004-01-05 
最后登录
2011-03-30 

精灵使

  

帖子
4742 
主题
100 
精华
0 
可用积分
3435  
专家积分
75 (本版:55)
来自
★梦幻☆忘情之都 
在线时间
783 小时 
注册时间
2004-01-05 
最后登录
2011-03-30 

状态:...当前离线...

[微博] [博客] [短信]

[报告] 3发表于 2007-07-22 02:42 | 只看该作者

 

cisco的darp inspection,可以部署在有dhcp的dhcp snooping环境下,也可以和静态mac acl关联,当然直接部署mac acl也可以,不过傻了点,不够优雅。

IBM“人机大战”趣味问答| 2010您最想感谢的CUer是谁? | 微软开发资料免费下载| TCP/IP实现刨根究底大讨论! 圣诞老人
  • 发短消息
  • 加为好友

圣诞老人 当前离线

UID
1771710 
帖子
268 
精华
0 
积分
271 
可用积分
271  
信誉积分
100  
专家积分
0 (本版:)
空间积分
0  
阅读权限
20 
在线时间
0 小时 
注册时间
2003-07-17 
最后登录
2008-11-26 

精灵王

  

帖子
268 
主题
50 
精华
0 
可用积分
271  
专家积分
0 (本版:0)
在线时间
0 小时 
注册时间
2003-07-17 
最后登录
2008-11-26 

状态:...当前离线...

[微博] [博客] [短信]

[报告] 4发表于 2007-07-27 12:55 | 只看该作者

 



QUOTE:原帖由 cnadl 于 2007-7-22 02:42 发表 http://bbs.chinaunix.net/images/common/back.gif
cisco的darp inspection,可以部署在有dhcp的dhcp snooping环境下,也可以和静态mac acl关联,当然直接部署mac acl也可以,不过傻了点,不够优雅。

在3楼所说的基础上,加上一点也许更加会有效果,就其启用端口安全。但是启用这些安全保护后,对交换机的性能会有很大的消耗。
建议在3560以上的交换机上实施