最新
推荐
2014年高等教育信息化十大“关... 01-04 教育部成立教育信息化专家组 12-24
CERNET第二十一届学术年会 11-24 李志民:互联网促进人类文明迈... 11-15
|
目前,校园网中用户的认证多是采用DHCP+WebPortal的方式,这种方式对用户来说简单易操作,不需要任何特殊的设置,网络会自动分配地址给客户端,使得网络管理也相对简单。而最近出现的ARP病毒给网络管理人员提出了新的挑战,
我们采用CISCO的DAI功能(动态ARP检查,Dynamic ARP Inspection)保证接入交换机只传递“合法的”的ARP请求和应答信息。DHCP Snooping监听绑定表包括IP地址与MAC地址的绑定信息并将其与特定的交换机端口相关联,动态ARP检测可以用来检查所有非信任端口的ARP请求和应答(主动式ARP和非主动式ARP),确保应答来自真正的ARP所有者,这通过检查端口记录的DHCP绑定信息和ARP应答的IP地址决定是否真正的ARP所有者,不合法的ARP包将被删除。 对于同一VLAN内的接口可以开启DAI也可以关闭该功能,如果ARP包从一个可信任的接口接受到,就不需要做任何检查,如果ARP包在一个不可信任的接口上接收到,该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样,DHCP Snooping对于DAI来说也成为必不可少的,DAI是动态使用的,相连的客户端主机不需要进行任何设置上的改变。而对于那些没有使用DHCP的服务器可以采用静态添加DHCP绑定表或ARP access-list实现。 另外,通过DAI可以控制某个端口的ARP请求报文频率,一旦ARP请求的频率超过预先设定的阈值,交换机会立即关闭该端口,该功能可以阻止网络扫描工具的使用,同时对有大量ARP报文特征的病毒或攻击也可以起到阻断作用。 IOS全局命令: ip dhcp snooping vlan 100,200 /*定义对哪些VLAN进行DHCP的报文检测*/ no ip dhcp snooping information option ip dhcp snooping /*全局开启DHCP检查功能*/ ip arp inspection vlan 100,200 /*定义对哪些VLAN进行ARP报文检测*/ ip arp inspection log-buffer entries 1024 ip arp inspection log-buffer logs 1024 interval 10 IOS网络接口命令: //例如#intface FastEthernet 0/1 ip dhcp snooping trust ip arp inspection trust /*定义哪些接口是信任接口,通常是网络设备接口,上联的TRUNK接口等*/ ip arp inspection limit rate 15 (pps) /*定义接口每秒ARP报文数量*/ 对于没有使用DHCP设备可以采用下面办法: arp access-list static-arp permit ip host 10.66.227.5 mac host 0009.6b88.d387 ip arp inspection filter static-arp vlan 201 对于采用CISCO二层交换机接入的网络(例如采用Cisco 2950、2960接入的地方),我们可以采用PVLAN的来实现以上的功能。首先开启每台交换机上的PVLAN或端口隔离功能 ,使得同一VLAN内的端口之间在二层上无法交换信息。然后在汇聚交换机上开启PVLAN功能,使得交换机可以对同一VLAN内的不同地址之间进行网络路由,此外,开启汇聚交换机上的DHCP Snooping和DAI功能,这样就可以使二层交换机防范ARP的病毒攻击。 CISCO的汇聚交换机4500系列、6500系列、7600系列都是采用专用硬件芯片来进行DHCP Snooping和DAI检测的,对报文的转发性能基本没有任何影响。采用这种方式只要二层交换机支持端口隔离即可,不需要是CISCO品牌的交换机。
H3C交换机配置方法 H3C 3000系列二层接入交换机、3600系列弱三层交换机、E3教育专卖系列弱三层交换机等均可以支持DCHP Snooping以及Arp检测功能。 目前的H3C交换机出厂时的软件不支持ARP Detection功能,必须更新交换机软件,使之支持ARP detection,具体软件可以向H3C公司索取,升级完成后,其配置方法如下: dhcp-snooping//全局命令下开启DHCP Snooping功能 vlan 272 arp detection enable//对Vlan 272开启Arp检测功能 interface GigabitEthernet1/1 //对于上联的接口 dhcp-snooping tru//信任此接口上的DHCP响应报文 arp detection trust //信任此端口上的ARP报文 这样,就可以在接入交换机上将ARP病毒的攻击过滤掉,保证网络的稳定。
对于其他采用低端交换机或傻瓜交换机以及HUB的地方,可以采用一种第三方产品,如一个叫IP Scan的设备,此设备采用旁路的形式监听需要进行ARP检测的网络,对于ARP的每一个报文,此设备都要鉴别其真伪,例如A机器宣告1.2.3.4的IP地址所对应的MAC地址为11.22.33.44.55.66,就会立即发送一个报文同A机器进行通讯,如果A机器能够应答,证明A机器的Arp应答是一个真实的应答,否则就是一个伪造的应答信息,则采用某种策略抑制此报文的传播。 以上几种方式是我校在实践中的应用,基本上消除了校内的ARP病毒攻击,维护了校内的上网秩序。 来源:《中国教育网络》 |
版权所有:中国教育和科研计算机网网络中心 CERNIC,CERNET,京ICP备15006448号-16,京网文[2017]10376-1180号
关于假冒中国教育网的声明 | 有任何问题与建议请联络:Webmaster@staff.cernet.com
![京网文[2017]10376-1180号](/images/indexnew/www1024.jpg){kind=link}