参见图1和图2
三、配置步骤:
1. 如图1所示,当PC-B发送源IP地址为PC-D的arp reply攻击报文,源mac是PC-B的mac (000d-88f8-09fa),源ip是PC-D的ip(100.1.1.3),目的ip和mac是网关(3552P)的,这样3552上就会学习到错误的arp,如下所示:
--------------------- 错误 arp 表项 --------------------------------
IP Address MAC Address VLAN ID Port Name Aging Type
100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic
100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20 Dynamic
从网络连接可以知道PC-D的arp表项应该学习到端口E0/8上,而不应该学习到E0/2端口上。但实际上交换机上学习到该ARP表项在E0/2。上述现象可以在S3552上配置静态ARP实现防攻击:
arp static 100.1.1.3 000f-3d81-45b4 1 e0/8
2. 在图2 S3526C上也可以配置静态ARP来防止设备学习到错误的ARP表项。
3. 对于二层设备(S3050C和S3026E系列),除了可以配置静态ARP外,还可以配置IP+MAC+port绑定,比如在S3026C端口E0/4上做如下操作:
am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4
则IP为100.1.1.4并且MAC为000d-88f8-09fa的ARP报文可以通过E0/4端口,仿冒其它设备的ARP报文则无法通过,从而不会出现错误ARP表项。
四、配置关键点:
此处仅仅列举了部分Quidway S系列以太网交换机的应用。在实际的网络应用中,请根据配置手册确认该产品是否支持用户自定义ACL和地址绑定。仅仅具有上述功能的交换机才能防止ARP欺骗。
交换机配置教程(五):密码恢复
说明:以下方法将删除原有config文件,使设备恢复到出厂配置。
在设备重启时按Ctrl+B进入BOOT MENU之后,
Press Ctrl-B to enter Boot Menu... 5
Password : 缺省为空,回车即可
1. Download application file to flash
2. Select application file to boot
3. Display all files in flash
4. Delete file from Flash
5. Modify bootrom password
0. Reboot
Enter your choice(0-5): 4 选择4
No. File Name File Size(bytes)
===========================================================================
1 S3026CGSSI.btm 257224
2 wnm2.2.2-0005.zip 447827
3 snmpboots 4
4 * R0023P01.app 2985691
5 hostkey 428
6 serverkey 572
7 vrpcfg.txt 1281
Free Space : 3452928 bytes
The current application file is R0023P01.app
Please input the file number to delete: 7 选择7,删除当前的配置文件
Do you want to delete vrpcfg.txt now? Yes or No(Y/N)y
Delete file....done!
BOOT MENU
1. Download application file to flash
2. Select application file to boot
3. Display all files in flash
4. Delete file from Flash
5. Modify bootrom password
0. Reboot
Enter your choice(0-5):0 选择0,重启设备