ARP攻击专家会诊：切断传播途径六招

鸿鹄

编者按：对于SARS等劣性传染病，除治疗以外，最重要的当属切断传播途径，进行隔离。面对ARP攻击，这种方法同样非常有效。
    专家会诊概要：
    1、通过VLAN阻断ARP病毒
      病例一：可以给每台PC划分独立VLAN的情况
    2、通过接入层阻断ARP病毒
      病例二：可采用"防ARP攻击"接入交换机的情况
      病例三：可采用"接入和核心交换机联动"的情况
    3、通过核心层阻断ARP病毒
      病例四：可采用 "防ARP攻击"核心交换机的情况
    4、通过出口网管阻断ARP病毒
      病例五：采用支持"防ARP攻击"的出口路由器
    5、其它阻断ARP病毒的方案
      病例六：短期内无法改变网络设备现状的情况

    方案一、对网络划分独立VLAN来隔离
    如果一个网络部署时，能够要求每台PC被划分在各自独立的VLAN中。例如，在酒店中通常就可以给每个客房的PC配置独立的VLAN ID。这样，即使某台PC终端感染了ARP病毒，那它也无法攻击其它VLAN中的PC和网络设备。下面是H3C相应的详细解决方案。
    解决方案要点：
    " 为每个PC终端或服务器配置独立VLAN ID，隔离相互间的ARP协议。
    " 如果VLAN是配置在核心交换机和接入交换机上，可以进一步部署"核心层防ARP病毒攻击方案"实现全面防御，详见下文相关部分介绍。
    " 如果VLAN是配置在路由器和接入交换机上，可以进一步部署"路由器防ARP病毒攻击方案"实现全面防御，详见下文相关部分介绍。

乌审旗田浩波

{:soso_e100:}