注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

jjxn的博客

21世纪猪圈

 
 
 

日志

 
 

ARP欺骗的CISCO解决方案  

2006-10-15 23:21:13|  分类: 网络技术 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
针对ARP欺骗,CISCO交换机设备可以提供一些解决方案,主要是dhcp snooping和arp inspetion 
dhcp snooping会监听网络中的DHCP数据包,从中提取每台计算机的MAC地址和获取的IP地址,从而建立一个相对安全和准确的ARP对应表。 
arp inspetion则根据交换机保存的ARP表,判断其他计算机发出的ARP数据包是否正确合法,如果计算机发出的ARP数据与交换机ARP表中的不一致,则肯定出现了ARP欺骗,交换机会将此数据包丢弃,避免产生危害。 
两者结合,效果是:dhcp snooping确保交换机中的ARP表是合法且正确的;arp inspetion则确保ARP数据传输严格符合交换机中的ARP表,从此天下太平。 

局限性:主要问题在于,必须所有交换机都直接连接到CISCO交换机端口才保险,每端口壹台计算机,成本1000多,CISCO设备太贵。如果CISCO设备下面还连接了普通交换机,则普通交换机上接的计算机仍旧可以互相欺骗,症状就是:应用了snooping和arp inspetion技术以后, 
同一网段,某些计算机正常,某些又不正常,而不正常的计算机通常都接在同一个普通交换机上。 
另外,使用snooping和arp inspetion也要求所有被控制网段的计算机必须自动获取IP地址,否则不能正常使用网络,甚至完全断网。 

至于具体的交换机配置命令,全部英文,在这里不再献丑,欢迎讨论。 
  评论这张
 
阅读(120)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017