quidway s6500防arp欺騙有新招了嗎？

秋雨聲

quidway s6500防arp欺騙有新招了嗎？\r\n如果有的話，請華為3com提示！\r\n謝謝！\r\n\r\n\r\n\r\n網(wǎng)友1：\r\n\r\n解決步驟：\r\n交換機：(包括中間經(jīng)過的所有交換機上都要作，如果中間有交換機不支持的話，哪就還是會有這個問題，但是會減少影響范圍)\r\n1。作ACL 5000的只允許網(wǎng)關(guān)的MAC來發(fā)ARP廣播。其它的PC不能發(fā)這個網(wǎng)關(guān)IP的ARP廣播。.\r\n\r\n（1）全局配置deny 所有源IP是網(wǎng)關(guān)的arp報文（自定義規(guī)則）\r\nACL num  5000\r\nrule 0 deny 0806 ffff 24 64010101 ffffffff 40\r\nrule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34\r\nrule0目的：把整個交換機端口冒充網(wǎng)關(guān)的ARP報文禁掉，其中64010101是網(wǎng)關(guān)ip地址的16進制表示形式：100.1.1.1=64010101。\r\nrule1目的：把網(wǎng)關(guān)ARP報文允許通過，網(wǎng)關(guān)的mac地址000f-e200-3999。\r\n在Switch系統(tǒng)視圖下發(fā)acl規(guī)則：\r\n[Switch-Ethernet 1/0/1]packet-filter user-group 5000   \r\n這樣只有Switch上連設(shè)備能夠下發(fā)網(wǎng)關(guān)的ARP報文，其它pc就不能發(fā)送假冒網(wǎng)關(guān)的arp響應(yīng)報文。\r\n\r\n2�？梢宰鰽M綁定。\r\nam user-bind ip x.x.x.x mac h-h-h inter g x/0/x\r\n\r\n3。再可以作ARP STATIC靜態(tài)ARP表項。\r\narp static x.x.x.x h-h-h\r\n這樣子可以防止冒充網(wǎng)關(guān)\r\n\r\n\r\nPC上\r\n1。可以作一個批處理，每次啟動時，都應(yīng)用一下。\r\n這個文件內(nèi)容就是：arp -s 網(wǎng)關(guān)的IP 網(wǎng)關(guān)的MAC\r\n這樣是防止PC學習其它的網(wǎng)關(guān)IP的ARP項。\r\n2。還要注意就是病毒是我們的源頭，要注意定期全網(wǎng)殺一次。

hlrgo2111

真是好辦法 我馬上試一下看看

shengbaojun

感謝樓主分享,學習了！