主持人：各位老师，下午好。欢迎大家来参加我们的“校园网管理与安全论坛技术沙龙”。现在已经是第二期了，2007年年底做了802.13的第一期。非常感谢北大网络中心的老师和同事给我们提供了这么好的环境。《中国教育网络》为本次沙龙独家报道媒体。

　　以下为上海交大的赖学亮老师的《在网络设备层面采取的一些防止ARP的控制措施》主题报告实录(以下实录参照pdf文档阅读效果更好)。

　　赖学亮：这是一个ARP欺骗图，不过这个PPT不支持这个显示，所以只能看到这个效果。它分为单向和双向欺骗，它对欺骗者发送一个报表，把A发往B的报道发到这边来，但是并不处理。这是一个双向的欺骗模式，这是我们的一些硬件介绍。包括给用户的以及到无线网络的一些方式，用户通过递交网卡把数据传到这个交换机上，无线用户通过用户名和密码全都动态地分配这个IP地址。有了这种方式，我们就有几种ARP防御的措施。

　　在交换机上，这个交换机能够做的事情很少，ARP欺骗有几种模式，其中一种本身伪造MAP地址，不过大部分ARP欺骗不属于这种，所以大部分ARP欺骗防治不了，这是配置端口隔离。这是远程交换机，在全程开通ARP防治的功能，缺点比较明显，它绑定IP时，我们一些特殊的策略就无法应用了，而且会给一些用户带来麻烦。刚才已经讲了几个防治的办法，这里我就不重复了。不过缺点也是明显的，它只能针对网关的欺骗，采集上行报表，而不采集下行报表，这种欺骗是发现不了的。

　　我们考虑到用户的感觉，那么让用户得到杀毒的提示，ARP不会影响其他的用户。功能较强的交换机可以把比较大的用户网站，把它划分为更小的部分，这样可以降低ARP欺骗的范围。这是我们学校用的交换机的一些特性，大家可以看一下。用户通过用户报表，这时我们可以在接入交换机和网关上做检查，这就要看交换机的产品特性是支持ARP欺骗。

　　用户隔离和用户接入架构：
　　1、用户交换机
　　2、汇聚交换机
　　3、用户接入路由器，但它的价格比较高。
　　这是我们实验网内的一个典型，用户通过交换机可以接入到路由器上，汇聚交换机不能交互，必须要接入到接入路由器上，对用户进行全方面的检查，这是我们可以定位每个用户，看他们在什么地方。如果看到用户都在一个V—LAN上，那么出了问题可能比较难控制。至于无线上面，我们推荐用那个隔离架构，它可以防止用户之间的干扰，可以防止ARP欺骗及其他已知的一些干扰，这必须在无线网上来抗干扰。

　　这是在开放模式上的例子，他们不需要接入路由器，用隔离模式的时候，和用户之间沟通，那么任何IP都不会受影响，一个用户要访问另一个用户，必须要到网关上，用户看到另外的用户IP地址是网关的，那么网关再帮它转回它要访问的用户，这样就起到一个隔离的作用。这样的架构可以很明显地把ARP欺骗的问题解决掉。

　　现在介绍一下无线网关，它是使用LINUX(音)，不会涉及到ARP病毒网关的影响。它是一个无线网关，进行用户登记、密码检查等，因为它的程序，不能识别错误代理服务器，主要是防止ARP欺骗做的比较好，这是在无线网络上的一些配置。现在我们做了隔离之后，用户之间不是互通的，所以ARP问题可以得到解决。现在有三个网关，原来的网关不能防止ARP欺骗，现在大部分是使用思科的来达到免费的系统。另外是华为的一个路由器，它可以兼容网关的功能，这个实践效果会比用LINUX搭建这个软件的效果好很多。
　　下面是端口的隔离，它的缺点比较明显。802.1可以接触用户源，但是对设备要求比较高，也比较昂贵。隔离本身的优点是用户相互不干扰，把很多问题通过隔离直接解决掉。我就讲这些，谢谢。

　　问：用户网关是什么意思？
　　答：这边有一个图，你可以看一下。我们可以用SINP做一些网管方面的检查。
　　问：现在适合的交换机是什么？
　　答：新的有国内的神马锐捷(音)，这些应该都没有问题。用户是一种类似电信的一种模式，DNCP过程完成之后然后做一个ARP请求，这样网关会和它维系一个ARP过程，如果它能收到用户的ARP反映，它对用户的注册表不会有什么影响。它在工作的时候，记的是用户的帐号信息。
　　问：目前各高校的学校都是通过8020的认证，我想号召一下各校老师让厂家的用户客户端能集成一个，防止整体欺骗的报文，这样可能解决ARP欺骗的问题，我是这样的想法。我是湖北经济学院的，目前我们用的是锐捷的认证系统。它的设备有一部分支持，一部分不支持。集成主要是检测一下发送的报文是否是合法的。
　　答：这是需要交换机厂商自带的交换机软件，现在可能有些像华为的交换机必须要用华为的正版软件。
　　问：像锐捷的这种认证不限制用户发报文吧？除了它往外发的过滤之外，是否可以做一个接受的过滤？
　　答：我的理解是，任何用户都不发送欺骗报文的话，我也不需要检测这些报文是否合法。
　　问：我觉得这种问题应该是双向的。
　　答：就是说每个机器都有一个地址，我会检测你发的报文是否是合法的，有ARP欺骗的报文真的发送不出去。
　　问：如果它只是做一个认证的话，那么任何程序都可以直接往上写，就可以不通过你这个端口。
　　答：因为每一台机器都有客户端，所以我们就可以很好地控制它。如果每一台机器都不发送欺骗报文，做到这点就可以了。