收藏
下载资源 加入VIP免费专享

华为交换机配置入门到精通.doc

上传人:仙人指路1688 文档编号:2400712 上传时间:2023-02-17 格式:DOC 页数:60 大小:169.50KB
返回 下载 相关 举报
华为交换机配置入门到精通.doc_第1页
第1页 / 共60页
华为交换机配置入门到精通.doc_第2页
第2页 / 共60页
华为交换机配置入门到精通.doc_第3页
第3页 / 共60页
华为交换机配置入门到精通.doc_第4页
第4页 / 共60页
华为交换机配置入门到精通.doc_第5页
第5页 / 共60页
点击查看更多>>
资源描述

《华为交换机配置入门到精通.doc》由会员分享,可在线阅读,更多相关《华为交换机配置入门到精通.doc(60页珍藏版)》请在三一办公上搜索。

1、华为交换机配置入门到精通入门篇 TELNET远程管理交换机配置一 组网需求:1PC通过telnet登陆交换机并对其进行管理;2分别应用帐号+密码方式、仅密码方式以及radius认证方式;3只允许192.1.1.0/24网段的地址的PC TELNET访问。二 组网图: 作为telnet登陆主机的PC与Switch A之间通过局域网互连(也可以直连),PC可以ping通Switch A。三 配置步骤:1 H3C S3100-SI S5100系列交换机TELNET配置流程账号+密码方式登陆1配置TELNET登陆的ip地址<SwitchA>system-viewSwitchAvlan 2S

2、witchA-vlan2port Ethernet 1/0/1SwitchA-vlan2quitSwitchAmanagement-vlan 2SwitchAinterface vlan 2SwitchA-Vlan-interface2ip address 192.168.0.1 242进入用户界面视图SwitchAuser-interface vty 0 43配置本地或远端用户名+口令认证方式SwitchA-ui-vty0-4authentication-mode scheme4配置登陆用户的级别为最高级别3(缺省为级别1)SwitchA-ui-vty0-4user privilege le

3、vel 35添加TELNET管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为” admin”SwitchAlocal-user huaweiSwitchA-luser-huaweiservice-type telnet level 3SwitchA-luser-huaweipassword simple admin仅密码方式登陆1配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)2进入用户界面视图SwitchAuser-interface vty 0 43设置认证方式为密码验证方式SwitchA-ui-vty0-4authentication-mode pa

4、ssword4设置登陆验证的password为明文密码”huawei”SwitchA-ui-vty0-4set authentication password simple huawei5配置登陆用户的级别为最高级别3(缺省为级别1)SwitchA-ui-vty0-4user privilege level 3TELNET RADIUS验证方式配置1配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)2进入用户界面视图SwitchAuser-interface vty 0 43配置远端用户名和口令认证SwitchA-ui-vty0-4authentication-mode schem

5、e4配置RADIUS认证方案,名为”cams”SwitchAradius scheme cams5配置RADIUS认证服务器地址192.168.0.31SwitchA-radius-camsprimary authentication 192.168.0.31 18126配置交换机与认证服务器的验证口令为”huawei”SwitchA-radius-camskey authentication huawei7送往RADIUS的报文不带域名SwitchA-radius-camsuser-name-format without-domain8创建(进入)一个域,名为”huawei”SwitchAd

6、omain huawei9在域”huawei”中引用名为”cams”的认证方案SwitchA-isp-huaweiradius-scheme cams10将域”huawei”配置为缺省域SwitchAdomain default enable HuaweiTELNET访问控制配置1配置访问控制规则只允许192.1.1.0/24网段登录SwitchAacl number 2000SwitchA-acl-basic-2000rule deny source anySwitchA-acl-basic-2000rule permit source 192.1.1.0 0.0.0.2552配置只允许符合

7、ACL2000的IP地址登录交换机SwitchAuser-interface vty 0 4SwitchA-ui-vty0-4acl 2000 inbound3补充说明:l TELNET访问控制配置是在以上三种验证方式配置完成的基础上进行的配置;l TELNET登陆主机与交换机不是直连的情况下需要配置默认路由。2 H3C S3600 S5600系列交换机TELNET配置流程账号+密码方式登陆1配置TELNET登陆的ip地址<SwitchA>system-viewSwitchAvlan 2SwitchA-vlan2port Ethernet 1/0/1SwitchA-vlan2qui

8、tSwitchAinterface vlan 2SwitchA-Vlan-interface2ip address 192.168.0.1 242进入用户界面视图SwitchAuser-interface vty 0 43配置本地或远端用户名+口令认证方式SwitchA-ui-vty0-4authentication-mode scheme4配置登陆用户的级别为最高级别3(缺省为级别1)SwitchA-ui-vty0-4user privilege level 35添加TELNET管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为” admin”SwitchAlocal-

9、user huaweiSwitchA-luser-huaweiservice-type telnet level 3SwitchA-luser-huaweipassword simple admin仅密码方式登陆1配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)2进入用户界面视图SwitchAuser-interface vty 0 43设置认证方式为密码验证方式SwitchA-ui-vty0-4authentication-mode password4设置登陆验证的password为明文密码”huawei”SwitchA-ui-vty0-4set authentication

10、password simple huawei5配置登陆用户的级别为最高级别3(缺省为级别1)SwitchA-ui-vty0-4user privilege level 3TELNET RADIUS验证方式配置(以使用华为3Com公司开发的CAMS 作为RADIUS服务器为例)1配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)2进入用户界面视图SwitchAuser-interface vty 0 43配置远端用户名和口令认证SwitchA-ui-vty0-4authentication-mode scheme4配置RADIUS认证方案,名为”cams”SwitchAradius

11、scheme cams5配置RADIUS认证服务器地址192.168.0.31SwitchA-radius-camsprimary authentication 192.168.0.31 18126配置交换机与认证服务器的验证口令为”huawei”SwitchA-radius-camskey authentication huawei7送往RADIUS的报文不带域名SwitchA-radius-camsuser-name-format without-domain8创建(进入)一个域,名为”huawei”SwitchAdomain huawei9在域”huawei”中引用名为”cams”的认证

12、方案SwitchA-isp-huaweiradius-scheme cams10将域”huawei”配置为缺省域SwitchAdomain default enable HuaweiTELNET访问控制配置1配置访问控制规则只允许192.1.1.0/24网段登录SwitchAacl number 2000SwitchA-acl-basic-2000rule deny source anySwitchA-acl-basic-2000rule permit source 192.1.1.0 0.0.0.2552配置只允许符合ACL2000的IP地址登录交换机SwitchAuser-interfac

13、e vty 0 4SwitchA-ui-vty0-4acl 2000 inbound3补充说明:l TELNET登陆主机与交换机不是直连的情况下需要配置默认路由;l 在交换机上增加super password(缺省情况下,从VTY用户界面登录后的级别为1级,无法对设备进行配置操作。必须要将用户的权限设置为最高级别3,才可以进入系统视图并进行配置操作。低级别用户登陆交换机后,需输入super password改变自己的级别)例如,配置级别3用户的super password为明文密码”super3”:SwitchAsuper password level 3 simple super33 H3C

14、 S5500-SI S3610 S5510系列交换机TELNET配置流程1补充说明:l 由于H3C S5500-SI S3610 S5510系列交换机采用全新的Comware V5平台,命令行稍有改动。在采用上述配置的基础上,只要在系统视图下增加命令:SwitchAtelnet server enable 即可。四 配置关键点:1三层交换机,可以有多个三层虚接口,它的管理VLAN可以是任意一个具有三层接口并配置了IP地址的VLAN,而二层交换机,只有一个二层虚接口,它的管理VLAN即是对应三层虚接口并配置了IP地址的VLAN;2交换机缺省的TELNET认证模式是密码认证,如果没有在交换机上配置

15、口令,当TELNET登录交换机时,系统会出现”password required, but none set.”的提示;3TELNET登陆可以应用windows自带的dos、超级终端,也可以应用别的telnet软件进行登陆。交换机基于端口VLAN应用配置一 组网需求:PC1和PC2分别连接到交换机的端口E1/0/1和E1/0/2,端口分别属于VLAN10和VLAN20。二 组网图: 三 配置步骤:1 方法11创建(进入)VLAN10,将E1/0/1加入到VLAN10SwitchAvlan 10SwitchA-vlan10port Ethernet 1/0/12创建(进入)VLAN20,将E1/

16、0/2加入到VLAN20SwitchAvlan 20SwitchA-vlan20port Ethernet 1/0/2方法21进入以太网端口E1/0/1的配置视图SwitchAinterface Ethernet 1/0/12配置端口E1/0/1的PVID为10SwitchA-Ethernet1/0/1port access vlan 103进入以太网端口E1/0/1的配置视图SwitchAinterface Ethernet 0/24配置端口E1/0/2的PVID为20SwitchA-Ethernet1/0/2port access vlan 20四 配置关键点:无Web管理的配置五 组网需

17、求:PC通过IE浏览器对Switch A进行管理。六 组网图: 作为Web登陆主机的PC与Switch A之间通过局域网互连(也可以直连),PC可以ping通Switch A。七 配置步骤:2 H3C S3100-SI-SI S5100系列交换机Web配置流程1确认WEB管理文件已经在交换机flash中< SwitchA >dir7 (*) -rw- 801220 Apr 02 2000 00:02:15 hw-http3.1.5-0042.web2配置Web登陆的ip地址<SwitchA>system-viewSwitchAvlan 2SwitchA-vlan2por

18、t Ethernet 1/0/1SwitchA-vlan2quitSwitchAmanagement-vlan 2SwitchAinterface vlan 2SwitchA-Vlan-interface2ip address 192.168.0.1 243添加WEB管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为”admin”SwitchAlocal-user huaweiSwitchA-luser-huaweiservice-type telnet level 3SwitchA-luser-huaweipassword simple admin3 H3C S3600

19、 S5600 系列交换机Web配置流程1确认WEB管理文件已经在交换机flash中< SwitchA >dir7 (*) -rw- 801220 Apr 02 2000 00:02:15 hw-http3.1.5-0042.web2配置Web登陆的ip地址<SwitchA>system-viewSwitchAvlan 2SwitchA-vlan2port Ethernet 1/0/1SwitchA-vlan2quitSwitchAinterface vlan 2SwitchA-Vlan-interface2ip address 192.168.0.1 243添加WEB管

20、理的用户,用户类型为”telnet”,用户名为”huawei”,密码为”admin”SwitchAlocal-user huaweiSwitchA-luser-huaweiservice-type telnet level 3SwitchA-luser-huaweipassword simple admin4补充说明:l 如果想通过WEB方式管理交换机,必须首先将一个用于支持WEB管理的文件(可以从网站上下载相应的交换机软件版本时得到,其扩展名为”web”或者”zip”)载入交换机的flash中,该文件需要与交换机当前使用的软件版本相配套;l Web登陆主机与交换机不是直连情况下需要配置默认路

21、由;l 登陆的时候在IE浏览器中输入http:/192.168.0.1即可进入Web登陆页面。4 H3C S5500-SI S3610 S5510系列交换机Web配置流程1补充说明:l 配置跟上述配置完全一致,但是不需要在flash中有web管理的文件,因为该文件已经被集成在vrp软件版本中了,只要按照上述的配置作就可以了。八 配置关键点:1对于S3100-SI S5100系列二层交换机,配置管理VLAN时必须保证没有别的VLAN虚接口;2在将WEB管理文件载入交换机flash时,不要将文件进行解压缩,只需将完整的文件载入交换机即可(向交换机flash载入WEB管理文件的方法,请参考本配置实例

22、中交换机的系统管理配置章节)。VLAN接口动态获取IP地址配置九 组网需求:1SwitchA为二层交换机,管理VLAN为VLAN10,SwitchA的VLAN接口10动态获取IP地址;2SwitchA的以太网端口E1/0/1为Trunk端口,连接到SwitchB,同时SwitchB提供DHCP Server功能。一 组网图: 一一 配置步骤:5 SwitchA配置1将E0/1端口设为trunk,并允许所有的vlan通过SwitchA-Ethernet1/0/1port link-type trunkSwitchA-Ethernet1/0/1port trunk permit vlan all2

23、创建(进入)VLAN10SwitchAvlan 103创建(进入)VLAN接口10SwitchAinterface Vlan-interface 104为VLAN接口10配置IP地址SwitchA-Vlan-interface10ip address dhcp-allocSwitch B配置请参考DHCP Server配置部分一二 配置关键点:1二层交换机只允许设置一个VLAN虚接口,在创建VLAN10的虚接口前需要保证没有别的VLAN虚接口;2虽然交换机的VLAN接口动态获取了IP地址,但是不能获得网关地址,因此还需要在交换机上手工添加静态默认路由。 流限速的配置一三 组网需求:在交换机的E

24、thernet1/0/1口的入方向设置流量限速,限定速率为1Mbps(1024Kbps)。一四 组网图: 一五 配置步骤:6 H3C 5100 3500 3600 5600 系列交换机典型访问控制列表配置1配置acl,定义符合速率限制的数据流SwitchAacl number 4000SwitchA-acl-link-4000rule permit ingress any egress any2对端口E1/0/1的入方向报文进行流量限速,限制到1MbpsSwitchA- Ethernet1/0/1traffic-limit inbound link-group 4000 1 exceed dr

25、op配置关键点:无 自定义ACL的配置一六 组网需求:配置自定义ACL,通过匹配报文对应的协议号、MAC地址及IP地址等字段,过滤攻击主机发出的冒充网关的ARP报文。一七 组网图: 一八 配置步骤:H3C 3600的配置1定义5000 aclSwitch acl number 50002把整个端口arp协议报文中源ip地址为192.168.0.1的ARP报文禁掉(16和32分别是协议字段和源IP字段的偏移量)Switch-acl-user-5000rule 0 deny 0806 ffff 16 c0a80001 ffffffff 323允许arp协议报文源mac地址(偏移量为26)是000f

26、-e226-233c(网关)的arp报文通过Switch-acl-user-5000rule 1 permit 0806 ffff 16 000fe226233c ffffffffffff 26Switch-acl-user-5000quit4端口下下发创建的ACLSwitchinterface Ethernet 1/0/1Switch-Ethernet1/0/1packet-filter inbound user-group 5000H3C 5600的配置1定义5000 aclSwitch acl number 50002把整个端口arp协议报文源ip地址为192.168.0.1的ARP报文

27、禁掉Switch-acl-user-5000rule 0 deny 0806 ffff 20 c0a80001 ffffffff 363允许arp协议报文中源mac地址是000f-e226-233c的arp报文通过Switch-acl-user-5000rule 1 permit 0806 ffff 20 000fe226233c ffffffffffff 32Switch-acl-user-5000quit4端口下下发创建的ACLSwitchinterface Ethernet 1/0/1Switch-Ethernet1/0/1packet-filter inbound user-group

28、 5000H3C 3610 5510的配置 1定义5000 aclSwitch acl number 50002定义匹配的ACL规则,匹配arp报文Switch-acl-user-5000 rule deny l2 0806 ffff 123配置扩展流模板bbbSwitch flow-template bbb extend l2 12 24在端口E1/0/1上应用流模板bbbSwitch interface Ethernet 1/0/1Switch-Ethernet1/0/1 flow-template bbbSwitch-Ethernet1/0/1 quit配置关键点:1如果开启了QinQ功

29、能后,不建议应用用户自定义acl;2H3C 3100-SI 5100 5500-SI不支持5000-5999的acl,H3C 3610及5510因为与流模板冲突,无法下发以上防ARP的ACL,需要配置自定义流模板。 交换机Trunk端口配置一九 组网需求:1SwitchA与SwitchB用trunk互连,相同VLAN的PC之间可以互访,不同VLAN的PC之间禁止互访;2PC1与PC2之间在不同VLAN,通过设置上层三层交换机SwitchB的VLAN接口10的IP地址为10.1.1.254/24,VLAN接口20的IP地址为20.1.1.254/24可以实现VLAN间的互访。二 组网图:1VLA

30、N内互访,VLAN间禁访 2通过三层交换机实现VLAN间互访 二一 配置步骤:7 实现VLAN内互访VLAN间禁访配置过程SwitchA相关配置:1创建(进入)VLAN10,将E0/1加入到VLAN10SwitchAvlan 10SwitchA-vlan10port Ethernet 0/12创建(进入)VLAN20,将E0/2加入到VLAN20SwitchAvlan 20SwitchA-vlan20port Ethernet 0/23将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过SwitchAinterface GigabitEthernet 1/1SwitchA-

31、GigabitEthernet1/1port link-type trunkSwitchA-GigabitEthernet1/1port trunk permit vlan 10 20SwitchB相关配置:1创建(进入)VLAN10,将E0/10加入到VLAN10SwitchBvlan 10SwitchB-vlan10port Ethernet 0/102创建(进入)VLAN20,将E0/20加入到VLAN20SwitchBvlan 20SwitchB-vlan20port Ethernet 0/203将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过SwitchBin

32、terface GigabitEthernet 1/1SwitchB-GigabitEthernet1/1port link-type trunkSwitchB-GigabitEthernet1/1port trunk permit vlan 10 208 通过三层交换机实现VLAN间互访的配置SwitchA相关配置:1创建(进入)VLAN10,将E0/1加入到VLAN10SwitchAvlan 10SwitchA-vlan10port Ethernet 0/12创建(进入)VLAN20,将E0/2加入到VLAN20SwitchAvlan 20SwitchA-vlan20port Ethern

33、et 0/23将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过SwitchAinterface GigabitEthernet 1/1SwitchA-GigabitEthernet1/1port link-type trunkSwitchA-GigabitEthernet1/1port trunk permit vlan 10 20SwitchB相关配置:1创建VLAN10SwitchBvlan 102设置VLAN10的虚接口地址SwitchBinterface vlan 10SwitchB-int-vlan10ip address 10.1.1.254 255.255

34、.255.03创建VLAN20SwitchBvlan 204设置VLAN20的虚接口地址SwitchBinterface vlan 20SwitchB-int-vlan20ip address 20.1.1.254 255.255.255.05将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过SwitchAinterface GigabitEthernet 1/1SwitchA-GigabitEthernet1/1port link-type trunkSwitchA-GigabitEthernet1/1port trunk permit vlan 10 20二二 配置关

35、键点:无交换机端口链路类型介绍二三 交换机端口链路类型介绍交换机以太网端口共有三种链路类型:Access、Trunk和Hybrid。1Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口;2Trunk类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口;3Hybrid类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。其中,Hybrid端口和Trunk端口的相同之处在于两种链路类型的端口都可以允许多个VLAN的报文发送时打标签;不同之处在于Hybrid端口可以允许多个VL

36、AN的报文发送时不打标签,而Trunk端口只允许缺省VLAN的报文发送时不打标签。 三种类型的端口可以共存在一台以太网交换机上,但Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其他类型端口。例如:Trunk端口不能直接被设置为Hybrid端口,只能先设为Access端口,再设置为Hybrid端口。 二四 各类型端口使用注意事项配置Trunk端口或Hybrid端口,并利用Trunk端口或Hybrid端口发送多个VLAN报文时一定要注意:本端端口和对端端口的缺省VLAN ID(端口的PVID)要保持一致。当在交换机上使用isolate-user-vlan来进

37、行二层端口隔离时,参与此配置的端口的链路类型会自动变成Hybrid类型。Hybrid端口的应用比较灵活,主要为满足一些特殊应用需求。此类需求多为在无法下发访问控制规则的交换机上,利用Hybrid端口收发报文时的处理机制,来完成对同一网段的PC机之间的二层访问控制。二五 各类型端口在接收和发送报文时的处理1端口接收报文时的处理:交换机DHCP Sever的配置二六 组网需求:1在交换机上配置DHCP Server,使下面的用户动态获取相应网段的IP地址;2DHCP Server的IP地址是192.168.0.1/24,PC机接在E1/0/2口上。 二七 组网图: 二八 配置步骤:1创建(进入)V

38、LAN2Switchvlan 22将E1/0/1端口加入VLAN2Switch-vlan2port Ethernet1/0/23进入VLAN接口2Switch-vlan2int vlan 24为VLAN2配置IP地址Switch-Vlan-interface2ip address 192.168.0.1 255.255.255.05全局使能DHCP功能Switchdhcp enable6创建DHCP地址池并进入DHCP地址池视图Switchdhcp server ip-pool h3c7配置动态分配的IP地址范围Switch-dhcp-pool-h3cnetwork 192.168.0.1 m

39、ask 255.255.255.08配置网关地址Switch-dhcp-pool-h3c gateway-list 192.168.0.19禁止将PC机的网关地址分配给用户Switchdhcp server forbidden-ip 192.168.0.110指定vlan2虚接口工作在全局地址池模式Switchdhcp select global interface vlan-interface 2二九 配置关键点:1需保证虚接口地址在地址池中,这样VLAN下接的PC机方能自动获得192.168.0.0/24网段的IP地址;2对于DHCP Server设备,可以使用全局地址池和接口地址池进行地

40、址分配,这两种配置方法的适用情况是:如果DHCP Client和DHCP Server在同一网段,这两种配置方法都适用,如果DHCP Client 与DHCP Server不在同一网段,那么只能用基于全局地址池的DHCP Server配置。当虚接口工作在全局地址池模式时使用以下命令:Switchdhcp select global all3Vlan接口默认情况下以全局地址池方式进行地址分配,因此当vlan接口配置了全局地址池方式进行地址分配后,查看交换机当前配置时,在相应的vlan接口下无法看到有关DHCP的配置;4此系列交换机的具体型号包括:Quidway S3500、Quidway S39

41、00-EI、Quidway S5600、H3C S3600-EI、H3C S5600系列交换机。交换机DHCP Relay的配置三 组网需求:在交换机上配置DHCP Relay,使下面的用户动态获取相应网段的IP地址。 三一 组网图: 三二 配置步骤:1全局使能DHCP功能H3Cdhcp enable2指定DHCP Server组1所采用的DHCP Server的IP地址H3Cdhcp-server 1 ip 192.168.0.13配置DHCP Relay到DHCP Server的接口地址H3Cvlan 2H3C-vlan2port e1/0/2H3Cint vlan 2H3C-Vlan-i

42、nterface2ip address 192.168.0.2 255.255.255.04配置DHCP Relay到PC的接口地址H3Cvlan 3H3C-vlan3port e1/0/3H3Cint vlan 3H3C-Vlan-interface3ip address 192.168.1.1 255.255.255.05指定VLAN接口归属到DHCP Server组1H3C-Vlan-interface3dhcp-server 1三三 配置关键点:1必须保证路由可达;2保证动态获得的IP地址在地址池中;3此系列交换机的具体型号包括:Quidway S3500、Quidway S3900、

43、Quidway S5600、H3C S3600和H3C S5600系列交换机。 防ARP攻击配置举例关键词:ARP、DHCP Snooping摘 要:园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。同时,详细描述了组网中各个设备的配置步骤和配置注意事项,指导用户进行实际配置。缩略语:ARP(Address Resolution Protocol,地址解析协议)MITM(Man-In-The-Middle,中间人攻击) 第1章 ARP攻击防御功能介绍近来,许多校园网络都出现了ARP攻击现象。严重者甚至造成大面积网络不能正常访问外网,学校深受其害。H3C公司根据AR

44、P攻击的特点,提出了“全面防御,模块定制”的ARP攻击防御理念,并给出了两种解决方案。(1) DHCP监控模式下的ARP攻击防御解决方案这种方式适合动态分配IP地址的网络场景,需要接入交换机支持DHCP Snooping功能。通过全网部署,可以有效的防御 “仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方式;且不需要终端用户安装额外的客户端软件,简化了网络配置。(2) 认证方式下的ARP攻击防御解决方案这种方式适合网络中动态分配IP地址和静态分配IP地址共存的网络场景,且只能防御“仿冒网关”的ARP攻击方式。它不需要在接入交换机上进行特殊的防攻击配置,只需要客户端通过认证协议(802.1x)登录网络,认证服务器(如CAMS服务器)会识别客户端,并下发网关的IP/MAC对应关系给客户端,来防御“仿冒网关”攻击。1.1 ARP攻击简介按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。 校园网中,常见的ARP攻击有如下几中形式。(1) 仿冒网关攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 建筑/施工/环境 > 项目建议


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号