博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 1731|回复: 2

cisco中的ARP命令应用介绍

[复制链接]
发表于 2007-7-22 08:29:55 | 显示全部楼层 |阅读模式
最近一段时间,arp欺骗病毒十分猖獗,经常造成局网内主机断网。  从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
  第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。
  一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。
  有经验的网关会利用arp命令来查找发出arp欺骗包的主机,然后采取相应的措施。但这些都是亡羊补牢的办法,能不能把防范做在前面,让那些中毒的主机无所作为呢?
  其实,cisco也有类似的命令,能够在有arp欺骗的情况下保护网关和其它主机,使网络得以畅通。
  命令格式:
  arp IP add mac arpa intID,比如:
  arp 10.1.1.222 0000.ac01.2ca9 arpa fastethernet 3/19
  它的作用相当于:在快速以太3/19口上,能与它连接的只能是1001.1.222,mac地址只能是0000.ac01.2ca9 ,其它一律拒绝。
  在汇聚和接入交换机之间,通过这第条命令两端互相绑定对端的ip和mac地址,这样可以防止接入交换机下的pc中毒后发出虚假的arp信息,导致汇聚和接入交换机之间的通信异常。比如汇聚在请求对端接入交换机的mac地址时,pc首先发出了回应也就是以接入交换机的管理ip和自己的(或者伪装的)mac封装了arp reply那么汇聚的arp表就会出现错误,导致整个接入交换机下的用户无法上网,这也是一种arp欺骗。利用了上面的命令就可以将汇聚和接入交换机的 arp条目固化,防止出现上述情况。
  同理,在接入层交换机上做出绑定,那么当接入交换机请求目的主机的mac时,会直接从自己的固化arp表中去查找,而不会再向整个网络发布arp广播,这样即使有arp欺骗的主机存在,它也不会有向整个网络发难的机会。
 楼主| 发表于 2007-7-22 08:32:23 | 显示全部楼层

附件
2007-6-3 20:29
  下载次数: 7
Dhcp+arp inspection.rar (347.48 KB)
 楼主| 发表于 2007-7-22 08:33:12 | 显示全部楼层
在Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址。

  1.方案1——基于端口的MAC地址绑定

  思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:

Switch#config terminal #进入配置模式
Switch(config)# Interface fastethernet 0/1 #进入具体端口配置模式
Switch(config-if)#Switchport port-secruity #配置端口安全模式
Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)
#配置该端口要绑定的主机的MAC地址
Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)
#删除绑定主机的MAC地址


  注意: 以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。

  注意:以上功能适用于思科2950、3550、4500、6500系列交换机

  2.方案2——基于MAC地址的扩展访问列表

Switch(config)Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host 0009.6bc4.d4bf any
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)permit any host 0009.6bc4.d4bf
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config-if )interface Fa0/20 #进入配置具体端口的模式
Switch(config-if )mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config)no mac access-list extended MAC10
#清除名为MAC10的访问列表


  此功能与应用一大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。

  注意:以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image)。

  3.方案3——IP地址的MAC地址绑定

  只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。

Switch(config)Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host 0009.6bc4.d4bf any
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)permit any host 0009.6bc4.d4bf
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config)Ip access-list extended IP10
#定义一个IP地址访问控制列表并且命名该列表名为IP10
Switch(config)Permit 192.168.0.1 0.0.0.0 any
#定义IP地址为192.168.0.1的主机可以访问任意主机
Switch(config)Permit any 192.168.0.1 0.0.0.0
#定义所有主机可以访问IP地址为192.168.0.1的主机
Switch(config-if )interface Fa0/20
#进入配置具体端口的模式
Switch(config-if )mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config-if )Ip access-group IP10 in
#在该端口上应用名为IP10的访问列表(即前面我们定义的访问策略)
Switch(config)no mac access-list extended MAC10
#清除名为MAC10的访问列表
Switch(config)no Ip access-group IP10 in
#清除名为IP10的访问列表


  上述所提到的应用1是基于主机MAC地址与交换机端口的绑定,方案2是基于MAC地址的访问控制列表,前两种方案所能实现的功能大体一样。如果要做到IP与MAC地址的绑定只能按照方案3来实现,可根据需求将方案1或方案2与IP访问控制列表结合起来使用以达到自己想要的效果。

  注意:以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image)。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-24 05:49 , Processed in 0.100164 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表