会员注册
会员登录
个人空间
cisco 4506怎么防止网内arp病毒或攻击,谢谢!最近这种病毒很厉害!!怎么解决!!
http://publish.it168.com/2006/0605/20060605013701.shtml
其中这段不明白:
手工添加DHCP绑定表:
ip dhcp snooping binding 000b.db1d.6ccd vlan 10 1.1.1.1 interface gi1/1 expiry 1000
导出DHCP绑定表到TFTP服务器:
ip dhcp snooping database tftp://10.1.1.1/directory/file
需要注意的是DHCP绑定表要存在本地存贮器(Bootfalsh、slot0、ftp、tftp)或导出到指定TFTP服务器上,否则交换机重启后DHCP绑定表丢失,对于已经申请到IP地址的设备在租用期内,不会再次发起DHCP请求,如果此时交换机己经配置了下面所讲到的DAI和IP Source Guard技术,这些用户将不能访问网络。
000b.db1d.6ccd 谁的mac
1.1.1.1哪个地址。
再问一下,如何绑定bootflash,谢谢赐教!!!!
小弟急
我的网络结构:
核心交换机4506,下面连接着3台2950(支持ip dhcp snooping),请问ip dhcp snooping 在4506上配置了以后还需要在2950上开启\配置ip dhcp snooping吗?
如果4506下还接着几台华为的交换机能使用这个功能吗?另外可以使用DAI吗?
为什么用sh ip dhcp binding命令显示的主机多于用sh ip dhcp snooping binding显示的主机呢?有的主机怎么没用绑定?
查找攻击源:
在主机上用arp -a,可以发现很多ip地址与一个mac地址绑定,那么这个应该就是更新源。或者到路由器上
show arp也可以发现,找到攻击源。
解决方法:
1、杀毒
2、在主机上用arp -s将重要的网关与mac地址静态绑定起来,也可以做个小程序,每次开机时应用一下,让它静态绑定。在交换机上portsecurity。在路由器上arp x.x.x.x h.h.h arpa可以静态绑定mac地址与ip地址的映射关系。
3、DAI(dynamic arp inspection),这个是思科的解决方案,好像是新IOS的feature。你要看看你的45上面的IOS是否支持这个功能。
思科 Dynamic ARP Inspection (DAI)在交换机上提供IP地址和MAC地址的绑定, 并动态建立绑定关系。DAI 以 DHCP Snooping绑定表为基础,对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现。DAI配置针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。
范例:
IOS 全局命令:
ip dhcp snooping vlan 100,200
no ip dhcp snooping information option
ip dhcp snooping
ip arp inspection vlan 100,200 /* 定义对哪些 VLAN 进行 ARP 报文检测
ip arp inspection log-buffer entries 1024
ip arp inspection log-buffer logs 1024 interval 10
IOS 接口命令:
ip dhcp snooping trust
ip arp inspection trust /* 定义哪些接口是信任接口,通常是网络设备接口, TRUNK 接口等
ip arp inspection limit rate 15 (pps) /* 定义接口每秒 ARP 报文数量
对于没有使用 DHCP 设备可以采用下面办法:
arp access-list static-arp
permit ip host 10.66.227.5 mac host 0009.6b88.d387
ip arp inspection filter static-arp vlan 201
如果配置成功后,发配置上来给我们看看,再研究研究:)
Current configuration : 4870 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service compress-config
发表评论