问了N多人都不知道！（arp欺骗）

boylei767 · 发表于 2005-2-17 18:28:14

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

问了N多人都不知道！（arp欺骗）什么型号的核心交换机（问了N多人了，Cisco，华为，Dlink，Tplink，联想的工程师，没有一个可以给出肯定的回答，其实就是不知道）可以防范arp欺骗？？？？？？？？？？只要核心交换机上支持IPmac绑定就可以防范arp欺骗么？？这个问题，我几乎问遍了所有的公司的工程师，都没人回答出来。。。80％的人还不知道arp欺骗是什么！！就是这几天我问的。。。。估计他们以后就知道什么是arp欺骗了。。。。

ycfei · 发表于 2005-2-17 20:39:28

你的想法和我的想法一样..

easehu · 发表于 2005-2-18 00:23:14

Cisco 的应该知道这个问题的，因为 CCNA 里有这个方面的解释。不知道的说明是混的。。。ARP 解决办法用二层交换机绑定，所有和客户机连接的交换机，投入较大，这个是一个 BUG，耕除不容易哈（说重了啊）。

DreamCat · 发表于 2005-2-18 12:58:42

现在好多人都是混的，嘿嘿。。。谁让中国人喜欢考试作弊呢。

boylei767 · 发表于 2005-2-18 16:05:26

QUOTE (easehu @ Feb 18 2005, 12:23 AM)
Cisco 的应该知道这个问题的，因为 CCNA 里有这个方面的解释。不知道的说明是混的。。。ARP 解决办法用二层交换机绑定，所有和客户机连接的交换机，投入较大，这个是一个 BUG，耕除不容易哈（说重了啊）。
ros上绑定mac不可以解决arp欺骗的问题，我已经做过多次试验。。。。我的问题是，只要核心交换机上支持IPmac绑定就可以防范arp欺骗么？？（最终端的交换机是普通交换机）一定要最终端的交换机支持才可以么？？

sblive · 发表于 2005-2-18 19:25:58

QUOTE (boylei767 @ Feb 18 2005, 04:05 PM)

QUOTE (easehu @ Feb 18 2005, 12:23 AM)
Cisco  的应该知道这个问题的，因为 CCNA 里有这个方面的解释。不知道的说明是混的。。。ARP 解决办法用二层交换机绑定，所有和客户机连接的交换机，投入较大，这个是一个 BUG，耕除不容易哈（说重了啊）。
ros上绑定mac不可以解决arp欺骗的问题，我已经做过多次试验。。。。我的问题是，只要核心交换机上支持IPmac绑定就可以防范arp欺骗么？？（最终端的交换机是普通交换机）一定要最终端的交换机支持才可以么？？
  要网中所有的交换机支持绑定才行！

easehu · 发表于 2005-2-18 21:58:54

投入太大了点，还是放弃吧。。。

bow · 发表于 2005-2-18 23:45:55

主交换机捆绑可以把问题控制在单个交换机上。不会影响整个网络

boylei767 · 发表于 2005-2-19 15:38:30

QUOTE (bow @ Feb 18 2005, 11:45 PM)
主交换机捆绑可以把问题控制在单个交换机上。不会影响整个网络
可以肯定么？？？我就想达到这个效果。。。。什么型号的核心交换机有这个功能么？？。。。我想买呀。。。。不过好多人说，在核心交换机上做绑定，也不能防范arp欺骗。。。所以你有做过这方面的测试么？？不肯定的话，买回来就糟了。。。。有电话么？？可以交流交流么？？？

dell2550 · 发表于 2005-2-19 15:51:37

在核心交换机上作ip 与 mac的绑定并不能完全阻止arp欺骗因为，在汇聚层和接入层交换机上，非法的arp报文依然在传播，并导致错误的arp表最有效的办法是在接入层将ip、mac和交换机端口三者共同绑定。但是这需要接入层必须采用可管理的智能二层交换机，其价格比普通的不可管理的交换机要贵许多。而且，在大规模的网络里要实现，交换机维护的工作量会比较大，尤其是在建设初期。

samhui · 发表于 2005-2-20 10:37:22

QUOTE (easehu @ Feb 18 2005, 12:23 AM)
Cisco 的应该知道这个问题的，因为 CCNA 里有这个方面的解释。不知道的说明是混的。。。ARP 解决办法用二层交换机绑定，所有和客户机连接的交换机，投入较大，这个是一个 BUG，耕除不容易哈（说重了啊）。
cisco的CCNA没有这个内容的!

boylei767 · 发表于 2005-2-20 14:33:57

QUOTE (dell2550 @ Feb 19 2005, 03:51 PM)
在核心交换机上作ip 与 mac的绑定并不能完全阻止arp欺骗因为，在汇聚层和接入层交换机上，非法的arp报文依然在传播，并导致错误的arp表最有效的办法是在接入层将ip、mac和交换机端口三者共同绑定。但是这需要接入层必须采用可管理的智能二层交换机，其价格比普通的不可管理的交换机要贵许多。而且，在大规模的网络里要实现，交换机维护的工作量会比较大，尤其是在建设初期。
那就对了，这样的话，实际上只有在一台交换机上24台电脑会断线，而连接在核心交换机的其他交换机因为得到了ipmac绑定的保护，而不会受到影响，我这么理解对么？？？那么只买一台核心交换机，还是可以达到大部分电脑不断线的效果的。。。是不是。。。。

easehu · 发表于 2005-2-20 19:32:39

QUOTE (samhui @ Feb 20 2005, 10:37 AM)

QUOTE (easehu @ Feb 18 2005, 12:23 AM)
Cisco  的应该知道这个问题的，因为 CCNA 里有这个方面的解释。不知道的说明是混的。。。ARP 解决办法用二层交换机绑定，所有和客户机连接的交换机，投入较大，这个是一个 BUG，耕除不容易哈（说重了啊）。
cisco的CCNA没有这个内容的!
  。。。莫非是我记错了？，看的太多了，不过CCNA 的应该知道通讯结构哈。

samhui · 发表于 2005-2-20 23:16:31

你的水平over CCNA啦

samhui · 发表于 2005-2-20 23:16:52

这个内容是CCSP里的!

账号		自动登录	找回密码
密码			注册