三层交换机划分vlan后能否阻隔ARP攻击
答案:6 悬赏:80
解决时间 2021-01-17 14:18
- 提问者网友:沉默菋噵
- 2021-01-17 03:22
三层交换机划分vlan后能否阻隔ARP攻击
最佳答案
- 二级知识专家网友:十年萤火照君眠
- 2021-01-17 04:58
划分VLAN跟防止ARP攻击不是一个概念。
划分VLAN的主要作用是减小广播风暴,进行数据隔离等作用,但是这些作用都是围绕广播风暴这个概念来的。
当然ARP报文是出不了广播的,正如楼上讲的ARP是一个二层协议。从这个意义上ARP攻击范围是减小了。
但是从根本上不能解决或者防止ARP。
解决ARP攻击最好的办法就是在交换机上进行ARP+MAC 绑定,人为的指定ARP报文,其他ARP报文无效果,交换机丢弃,不转发。这样就能从根本上解决。。
对于楼上有位说需要防火墙。
我对防火墙的理解是防火墙可有可无,只是起到一个心理安全作用。不管是什么防火墙!虽然我们也产防火墙。
因为防火墙所有的功能,路由器都能实现,买个防火墙是作为增加设备故障点。
划分VLAN的主要作用是减小广播风暴,进行数据隔离等作用,但是这些作用都是围绕广播风暴这个概念来的。
当然ARP报文是出不了广播的,正如楼上讲的ARP是一个二层协议。从这个意义上ARP攻击范围是减小了。
但是从根本上不能解决或者防止ARP。
解决ARP攻击最好的办法就是在交换机上进行ARP+MAC 绑定,人为的指定ARP报文,其他ARP报文无效果,交换机丢弃,不转发。这样就能从根本上解决。。
对于楼上有位说需要防火墙。
我对防火墙的理解是防火墙可有可无,只是起到一个心理安全作用。不管是什么防火墙!虽然我们也产防火墙。
因为防火墙所有的功能,路由器都能实现,买个防火墙是作为增加设备故障点。
全部回答
- 1楼网友:夜风逐马
- 2021-01-17 09:23
不能,建议接驳一台硬件防火墙,这才是硬道理!!!
- 2楼网友:归鹤鸣
- 2021-01-17 08:39
如果对ARP攻击要求很严格的话建议使用Dynamic ARP Inspection功能。对地质进行绑定。例如对vlan7 的进行检测的话:全局下:ip dhcp snooping ip arp inspection vlan 7
- 3楼网友:蓝房子
- 2021-01-17 08:18
能防止ARP 能PING通是经过三层交换机路由转发的。ARP是二层协议。
- 4楼网友:鱼忧
- 2021-01-17 08:09
划分VLAN的确可以控制ARP攻击,但效果比明显,你可以搭建一个防火墙来有效的控制ARP攻击,你把交换机划分VLAN后开启三层的路由功能就可以实现VLAN间通信了,最好把服务器单独放在一个VLAN里,然后使用ACL控制访问。这样可以提高服务器效率。
- 5楼网友:拾荒鲤
- 2021-01-17 06:37
有,不过效果不是很明显,有些厂商的设备是支持防ARP的你可以把相关的功能启用一下,VLAN之间能Ping通是因为在三层交换机上每个VLAN相当于一个端口,他们都有自己的直连路由存在。你划分完VLAN以后你的PC机上如果实现文件共享服务要在TCP/IP协议里添加NetBIOS协议,并且要开TCP/IP NetBIOS Helper服务
我要举报
如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
点此我要举报以上问答信息!
大家都在看
推荐信息