返回
arp防攻击策略

arp防攻击策略

ID:27913707

大小:158.00 KB

页数:11页

时间:2018-12-07

arp防攻击策略_第1页
arp防攻击策略_第2页
arp防攻击策略_第3页
arp防攻击策略_第4页
arp防攻击策略_第5页
资源描述:

《arp防攻击策略》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、-配置ARP攻击防御2.2.1 ARP攻击防御配置任务简介表2-1ARP攻击防御配置任务简介配置任务交换机角色说明详细配置配置VLAN接口学习动态ARP表项的最大数目网关设备可选2.2.2 配置ARP报文源MAC一致性检查功能网关设备、接入设备可选2.2.3 配置基于网关IP/MAC的ARP报文过滤功能接入设备可选2.2.4 配置ARP入侵检测功能网关设备、接入设备可选2.2.5 配置ARP报文限速功能网关设备、接入设备可选2.2.6  2.2.2 配置VLAN接口学习动态ARP表项的最大数目表2-2配置VLAN接口学习ARP表项的最大数目操作命

2、令说明进入系统视图system-view-进入VLAN接口视图interfaceVlan-interfacevlan-id-配置VLAN接口学习动态ARP表项的最大数目arpmax-learning-numnumber可选缺省情况下,S3600-EI系列以太网交换机取值为4031,S3600-SI系列以太网交换机取值为2048 2.2.3 配置ARP报文源MAC一致性检查功能表2-3配置ARP报文源MAC一致性检查.---操作命令说明进入系统视图system-view-开启ARP报文源MAC一致性检查功能arpanti-attackvalid-c

3、heckenable必选缺省情况下,交换机ARP报文源MAC一致性检查功能处于关闭状态 2.2.4 配置基于网关IP/MAC的ARP报文过滤功能表2-4配置基于网关IP地址的ARP报文过滤功能操作命令说明进入系统视图system-view-进入以太网端口视图interfaceinterface-typeinterface-number-配置基于网关IP地址的ARP报文过滤功能arpfiltersourceip-address必选缺省情况下,没有配置基于网关IP地址的ARP报文过滤功能 表2-5配置基于网关IP地址、MAC地址绑定的ARP报文过滤功

4、能操作命令说明进入系统视图system-view-进入以太网端口视图interfaceinterface-typeinterface-number-配置基于网关IP地址、MAC地址绑定的ARP报文过滤功能arpfilterbindingip-addressmac-address必选缺省情况下,没有配置基于网关IP地址、MAC地址绑定的ARP报文过滤功能 .---以太网端口上的arpfiltersource命令与arpfilterbinding命令互斥,即同一个以太网端口上只能配置其中的一种命令。一般情况下,基于网关IP地址的ARP报文过滤功能,配

5、置在接入交换机与用户相连的端口;而基于网关IP地址的、MAC地址绑定的ARP报文过滤功能,配置在接入交换机的级连端口或上行端口。 2.2.5 配置ARP入侵检测功能表2-6配置ARP入侵检测功能操作命令说明进入系统视图system-view-配置IP静态绑定表项interfaceinterface-typeinterface-number三者至少选一,可以多选缺省情况下,没有配置IP静态绑定表项,且交换机的DHCPSnooping功能、基于802.1x认证用户的ARP入侵检测功能处于关闭状态ipsourcestaticbindingip-addr

6、essip-address[mac-addressmac-address]开启DHCPSnooping功能dhcp-snooping开启基于802.1x认证用户的ARP入侵检测的功能ipsourcestaticimportdot1x进入以太网端口视图interfaceinterface-typeinterface-number-配置DHCPSnooping信任端口dhcp-snoopingtrust可选如果开启了交换机的DHCPSnooping功能,则需要配置其上行连接DHCP服务器的端口为信任端口配置ARP信任端口arpdetectiontru

7、st可选缺省情况下,交换机所有端口为ARP非信任端口一般情况下,需要配置交换机的上行端口作为ARP信任端口退出至系统视图quit-进入VLAN视图vlanvlan-id-.---开启ARP入侵检测功能arpdetectionenable必选缺省情况下,指定VLAN内所有端口的ARP入侵检测功能处于关闭状态开启ARP严格转发功能arprestricted-forwardingenable可选缺省情况下,ARP严格转发功能处于关闭状态 l   在接入用户多数为DHCP动态获取IP地址,部分为手工配置IP地址的组网环境中,建议同时开启DHCPSnoop

8、ing功能和配置IP静态绑定表项,配合ARP入侵检测功能完成ARP报文的合法性检查。l   基于802.1x认证用户的ARP入侵检测功能

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。