三层交换机划分vlan后能否阻隔ARP攻击

三层交换机划分vlan后能否阻隔ARP攻击

划分VLAN跟防止ARP攻击不是一个概念。

划分VLAN的主要作用是减小广播风暴，进行数据隔离等作用，但是这些作用都是围绕广播风暴这个概念来的。

当然ARP报文是出不了广播的，正如楼上讲的ARP是一个二层协议。从这个意义上ARP攻击范围是减小了。

但是从根本上不能解决或者防止ARP。

解决ARP攻击最好的办法就是在交换机上进行ARP+MAC 绑定，人为的指定ARP报文，其他ARP报文无效果，交换机丢弃，不转发。这样就能从根本上解决。。

对于楼上有位说需要防火墙。
我对防火墙的理解是防火墙可有可无，只是起到一个心理安全作用。不管是什么防火墙！虽然我们也产防火墙。
因为防火墙所有的功能，路由器都能实现，买个防火墙是作为增加设备故障点。

不能，建议接驳一台硬件防火墙，这才是硬道理！！！

如果对ARP攻击要求很严格的话建议使用Dynamic ARP Inspection功能。对地质进行绑定。例如对vlan7 的进行检测的话：全局下：ip dhcp snooping ip arp inspection vlan 7

能防止ARP 能PING通是经过三层交换机路由转发的。ARP是二层协议。

划分VLAN的确可以控制ARP攻击，但效果比明显，你可以搭建一个防火墙来有效的控制ARP攻击，你把交换机划分VLAN后开启三层的路由功能就可以实现VLAN间通信了，最好把服务器单独放在一个VLAN里，然后使用ACL控制访问。这样可以提高服务器效率。

有，不过效果不是很明显，有些厂商的设备是支持防ARP的你可以把相关的功能启用一下，VLAN之间能Ping通是因为在三层交换机上每个VLAN相当于一个端口，他们都有自己的直连路由存在。你划分完VLAN以后你的PC机上如果实现文件共享服务要在TCP/IP协议里添加NetBIOS协议，并且要开TCP/IP NetBIOS Helper服务

如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息，可以点下面链接进行举报！

点此我要举报以上问答信息！