文档介绍:二层交换机防止同网段ARP欺骗攻击的配置方法
二层交换机实现仿冒网关的ARP防攻击:
一、组网需求:
1. 二层交换机阻止网络用户仿冒网关IP的ARP攻击
二、组网图:
图1二层交换机防ARP攻击组网
S3552P是三层设备,其中IP:,S3552P上的网关MAC地址为000f-e200-3999。PC-B上装有ARP攻击软件。现在需要对S3026C_A进行一些特殊配置,目的是过滤掉仿冒网关IP的ARP报文。
三、配置步骤
对于二层交换机如S3026C等支持用户自定义ACL(number为5000到5999)的交换机,可以配置ACL来进行ARP报文过滤。
全局配置ACL禁止所有Sender ip address字段是网关IP地址的ARP报文
acl num
5000
rule 0 deny 0806 ffff 24 ffffffff 40
rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34
其中rule0把整个S3026C_A的端口冒充网关的ARP Reply报文禁掉,。Rule1允许通过网关发送的ARP报文,斜体部分为网关的mac地址000f-e200-3999。
注意:配置Rule时的配置顺序,上述配置为先下发后生效的情况。
在S3026C-A系统视图下发acl规则:
[S3026C-A] packet-filter user-group 5000
这样只有S3026C_A上连网关设备才能够发送网关的ARP报文,其它主机都不能发送假冒网关的arp响应报文。