文档介绍:二层交换机预防同网段ARP欺骗攻击配置方法
二层交换机实现仿冒网关ARP防攻击:
一、组网需求:
1. 二层交换机阻止网络用户仿冒网关IPARP攻击
二、组网图:
图1二层交换机防ARP攻击组网
S3552P是三层设备,其中IP:,S3552P上网关MAC地址为000f-e200-3999。PC-B上装有ARP攻击软件。现在需要对S3026C_A进行部分特殊配置,目标是过滤掉仿冒网关IPARP报文。
三、配置步骤
对于二层交换机如S3026C等支持用户自定义ACL(number为5000到5999)交换机,能够配置ACL来进行ARP报文过滤。
全局配置ACL严禁全部Sender ip address字段是网关IP地址ARP报文
acl num
5000
rule 0 deny 0806 ffff 24 64010101 ffffffff 40
rule 1 permit 0806 ffff 24 000fe999 ffffffffffff 34
其中rule0把整个S3026C_A端口冒充网关ARP Reply报文禁掉,。Rule1许可经过网关发送ARP报文,斜体部分为网关mac地址000f-e200-3999。
注意:配置Rule时配置次序,上述配置为先下发后生效情况。
在S3026C-A系统视图下发acl规则:
[S3026C-A] packet-filter user-group 5000
这么只有S3026C_A上连网关设备才能够发送网关ARP报文,其它主机全部不能发送假冒网关arp响应报文。