找回密码
 注册

QQ登录

只需一步,快速开始

搜索
楼主: parphy

[其它] 关于三层交换防ARP攻击的误区

[复制链接]
发表于 2007-2-13 12:35:54 | 显示全部楼层
直接划VLAN,限制了广播域,就算ARP再厉害,能如何?
routeros
回复

使用道具 举报

发表于 2007-2-13 12:38:13 | 显示全部楼层
老大是指端口方式吗?那不是增加了网内访问的难度?
routeros
回复

使用道具 举报

发表于 2007-2-13 13:44:11 | 显示全部楼层
好像还有人没听懂。。呵呵
智能二层交换机不能做IP+MAC+PORT的绑定,只能作MAC+PORT的绑定。而上三层交换机就可以,但不用起三层功能。
routeros
回复

使用道具 举报

 楼主| 发表于 2007-2-13 16:03:05 | 显示全部楼层
原帖由 naboo 于 2007-2-13 13:44 发表
好像还有人没听懂。。呵呵
智能二层交换机不能做IP+MAC+PORT的绑定,只能作MAC+PORT的绑定。而上三层交换机就可以,但不用起三层功能。


大部分的IP+MAC+PORT的绑定分2步走,先将MAC+PORT(或VLAN)绑定,然后做基于IP的访问控制列表(简称ACL),这样的做法,是将绑定的端口做网关,想不起三层也不行,否则ACL就不起作用,区分它的方法很简单,通常需要在两个位置写配置。这样的绑定,对ARP欺骗通常是不起作用的(除非象精品说的,每个主机一个段/VLAN)

还有一小部分,之所以说小部分,主要是指很多非主流的国产厂商(稳定和性能方面不能和名牌相比,就只能做些大厂不太注重的地方)。这些大多是俗称二层半的设备(也可能包括这里提到的3层设备不起三层)可以支持IP+MAC+PORT一次性绑定(通常一条命令就全解决了的)。这种其实有好多就是我前面提到的用二进制过滤的方法,只是不用去算而已(人性化),此时又分两种情况,一种,不会过滤源地址广播,另外一种,会将源地址为广播地址的包也过滤掉,这样,就同时带来DHCP的功能无法实现的副作用。关键问题还不在这里,除了类似华为这样的大牌子,很多国产小牌子根本用不住,就算还过得去的华为,我的库房里还躺着好多多台坏的3026,过保了,还有的虽然还在用,有的口子坏了,有的模块坏了...
routeros
回复

使用道具 举报

发表于 2007-2-13 17:29:44 | 显示全部楼层
请问为什么不能绑定IP,是不是因为是工作在二层?
routeros
回复

使用道具 举报

发表于 2007-2-13 17:42:34 | 显示全部楼层
交换机支持IP了,就可以算3层了,当然,现在有些2层的加了模块后可以支持IP,所以就叫2.5层交换机了!
routeros
回复

使用道具 举报

发表于 2007-2-13 17:48:39 | 显示全部楼层
老大,你在哇,那么再请教,在二层(非2.5)上绑定了基于端口的MAC,是不是会让ARP表变为静态?
routeros
回复

使用道具 举报

发表于 2007-2-13 21:20:55 | 显示全部楼层
你们说的那个arp补丁好象只是对win2000的啊
routeros
回复

使用道具 举报

发表于 2007-2-15 16:00:49 | 显示全部楼层
好东西!应该学习!!
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-5 22:42 , Processed in 0.073402 second(s), 5 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表