最近,机房的
服务器总是对外发包,经检测发现,ARP欺骗居多,还好,之前学NP的时候学过防ARP欺骗的方法,正好也借此将防止ARP欺骗的配置发表出来。
思科防ARP欺骗,采用端口
安全思科端口
安全在违反
安全规则后有三种处理模式,有两种解决方案
三种处理模式:
Shudown 这种方式保护能力最强,但是对于一些情况可能会为管理带来麻烦,如某台设备中了
病毒,病毒间断性伪造源MAC在网络中发送报文。
Protect 丢弃非法流量,不报警
Restrict 丢弃非法流量,报警,对不上面会是交换机
cpu利用率上升但是不影响交换机的正常使用。推荐使用这种方式。
两种解决方案:
MAC+IP绑定
设置最大学习MAC数量
一.MAC+IP绑定,此方法虽好,但是需要手工去登记各
服务器MAC地址,太耗费人力。
配置方法:
1.进接口模式
2.switchport port-security //开启端口
安全,此命令必敲,否则后面的配置不生效
3.switchport port-security mac-address aabb.ccdd.eeff //设置此端口下对应的MAC地址
4.switchport port-security violation restrict //设置违规方式为丢弃并报警
二.设置学习多少MAC地址后丢弃其他的ARP流量
1.进接口模式
2.switchport port-security //同上,必敲
3.switchport port-security maximum 5 //设置最多学习5个MAC地址
4.switchport port-security violation restrict //设置学习超过5个MAC地址后,将其他的ARP流量丢弃并报警。
华为交换机设置防ARP欺骗
1.进接口模式 int e0/3
2.mac-address max-mac-count 5 //设置最多学习5个MAC地址
