关于三层交换防ARP攻击的误区

专卖精品

直接划VLAN，限制了广播域，就算ARP再厉害，能如何？

everest79

老大是指端口方式吗？那不是增加了网内访问的难度？

naboo

好像还有人没听懂。。呵呵
智能二层交换机不能做IP+MAC+PORT的绑定，只能作MAC+PORT的绑定。而上三层交换机就可以，但不用起三层功能。

parphy

原帖由 naboo 于 2007-2-13 13:44 发表
好像还有人没听懂。。呵呵
智能二层交换机不能做IP+MAC+PORT的绑定，只能作MAC+PORT的绑定。而上三层交换机就可以，但不用起三层功能。

大部分的IP+MAC+PORT的绑定分2步走，先将MAC+PORT（或VLAN）绑定，然后做基于IP的访问控制列表（简称ACL），这样的做法，是将绑定的端口做网关，想不起三层也不行，否则ACL就不起作用，区分它的方法很简单，通常需要在两个位置写配置。这样的绑定，对ARP欺骗通常是不起作用的（除非象精品说的，每个主机一个段/VLAN）

还有一小部分，之所以说小部分，主要是指很多非主流的国产厂商（稳定和性能方面不能和名牌相比，就只能做些大厂不太注重的地方）。这些大多是俗称二层半的设备（也可能包括这里提到的3层设备不起三层）可以支持IP+MAC+PORT一次性绑定（通常一条命令就全解决了的）。这种其实有好多就是我前面提到的用二进制过滤的方法，只是不用去算而已（人性化），此时又分两种情况，一种，不会过滤源地址广播，另外一种，会将源地址为广播地址的包也过滤掉，这样，就同时带来DHCP的功能无法实现的副作用。关键问题还不在这里，除了类似华为这样的大牌子，很多国产小牌子根本用不住，就算还过得去的华为，我的库房里还躺着好多多台坏的3026，过保了，还有的虽然还在用，有的口子坏了，有的模块坏了...

everest79

请问为什么不能绑定IP，是不是因为是工作在二层？

专卖精品

交换机支持IP了，就可以算3层了，当然，现在有些2层的加了模块后可以支持IP，所以就叫2.5层交换机了！

everest79

老大，你在哇，那么再请教，在二层（非2.5）上绑定了基于端口的MAC，是不是会让ARP表变为静态？

turboxiangfei

你们说的那个arp补丁好象只是对win2000的啊

ddgpgd

好东西!应该学习!!