二层网管交换机应用TPLINK四元绑定杜绝内网arp攻击

《二层网管交换机应用TPLINK四元绑定杜绝内网arp攻击》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、二层网管交换机应用TPLINK四元绑定杜绝内网arp攻击ARP简介ARP（AddressResolutionProtocol,地址解析协议）川丁-将网络层的IP地址解析为数据链路层的物理地址。网络上的一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时，是根据主机的数据链路层地址（包括MAC地址）进行转发的，设备驱动程序从不检查IP数据报中的目的IP地址，所以这就需要将IP地址解析为数据链路层地址。ARP欺骗按照ARP协议的设计，一个主机也会接收不是口己主动请求的ARP应答，并将应答中的IP地址和物理地址添加到ARP衣屮，这样设计是为了减少网络上过多的ARP通信量

2、，但同时也为“ARP欺骗”创造了条件。ARP欺骗的方式有多种，中间人攻击、网关欺骗、主机欺骗等等。一•般來说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大ifli积频繁掉线，严适的会威胁到网络安全，如网游、网银的帐号被盗等安全问题。ARP防护传统的ARP防护措施是徃宽帯路山器和计算机上进行双向绑定，但是仍然存在两个不足：1、每台计算机上均需要添加批处理文件，对于大中型的网吧、校园网等來说，工作量太大；2、传统的双向绑定只保证上互联网不受欺骗，但是内网的计算机与计算机Z间的安全没冇保障；综合以上两个不足及ARP攻击的特点，二层网关交换机的四元绑定功能给出了冇效的防A

3、RP攻击解决方案。通过对交换机每个端口进行分析，杜绝ARP欺骗报文从任何一个端口转发，同时保证了内部和外部网络安全。用户需求某金业网络结构如下图，交换机TL-SL5428下接有26台主机，1台文件服务器。FL-SL5伽文件眼务熔【11-26阳域网主机设置步骤K设定绑定列表。绑定列衣添加的方式冇汗动绑定”和14扫描绑定”两种。这里于动添加文件服务器和两台局域网主机进去分别到交换机的27.仁2口。DHCPffl^r手动吸IP堆址：MACittt：>4JkNID：置口：爭SW足*01IPttttMACHlttVLAN©«■口族T「稍動］添加完成如下图:DHCFWFr手动帕主机

4、名：IP览址：HACiWi：WANID：81□:跡护矗0D：pj砂用y«*b主札SiPftttMAC堆址VLWIO■口訪护范CB张三—1911680.58gg好62■弓心11ARPW1PW2」閩07800・0345」0-52-61d4C7127ARP处护如果局域网电脑较多,我们可以采取扫描绑定的方式,设定扫描宦始IP地址呀「结束IP地址”后，点击扫描。卿定炯耶iW定i33s«^EES3S3LARPHISMttsiPtt址:姑束IP堆址:VLANID：IWJMOI丨1921W0255■■■■■一■・i■■■1(1*409

5、4>™I遶JB王MiPfeWtMACktttVLANIDfll口□11硒]得到扫描结果片，选择阳耍绑定的条冃，“防护范ar选择2rp防护”后点击“绑）ir按钮。怦5心疙■之右乂匸“忙LF主肚MACttltVLANID«□RSFJafi□p~11921680100OG-l9-Ob-&$-4e-C&124■••心戶口.—19216801DO00-t»-(Jb-68-4e-c6124不8用W*][绑定后可以在绑定列表中杳看相应条LI。帧□□□□□HSW?DHCFtfWr壬Its曲■址VUNID*三192168056(M>0>4^62-a5-(71$291921630781eM

6、“2」弊O10O1192.16602001审口小护洁83「IB1ARPtt沪2ARPttlA辛瑚加24心球5护胪FCT27*«侧沪宇测JB2.确认网络中的特殊端口，特殊端口是针对交换机而言的，交换机对特殊端口的ARP报文直接转发。可将打交换机或者路山器级联的端口设置为特殊端口，」:图小可将28号端II设置为特殊端II。3、设置ARP防护功能。选定特殊端II28后，启用“防ARP欺骗”并捉交。防ARP默満防ARP玫击报文统计R3ARPR98防ARPW：骗：©启用O禁用284112□□□17□1D1口O□1517122□□□267395112□□□□帮助全遶金此ARP防护的

7、设置完成。