文档编号:681
浏览:9834 评分:53
最后更新于:2010-07-28
用户问题:
有些网络管理员为了规范网络管理,针对内网电脑都做了IP/MAC绑定禁止外来电脑上网,但还是有些问题用户通过非法手段盗用正常用户的IP和MAC,非法接入内网,占用现有带宽,传遍病毒,导致正常的用户上网速度慢,IP地址冲突等异常情况,对现有局域网构成严重的安全隐患。
解决方法:
针对此问题可使用艾泰科技SG 2124/3124R管理型交换机做IP/MAC/PORT三元绑定解决。
1)首先是在基本配置—系统设置—启用ARP欺骗防御
2)安全配置—ARP欺骗防御—IP/MAC/PORT全部绑定
开启IP/MAC/PORT三元绑定之后: 只有与绑定的IP、MAC都相同的用户才能通过绑定的端口上网,并且此用户只能通过该端口上网。
1、当交换机收到与绑定的IP或MAC有冲突的ARP包时,交换机会将其丢弃,这样就可以有效的防止ARP欺骗。
2、当某个端口每秒收到大于系统预设的ARP数据包(大约300个)时,系统认为此端口下可能有ARP攻击,系统会自动禁用此端口并在一段时间后自动启用此端口。
3、MAC地址静态绑定,减少了地址学习步骤,提高了交换机的转发效率。不受老化时间影响,将一直有效除非被手工删除配置MAC/PORT绑定后,被绑定的MAC地址只能通过绑定的端口才能上网,所有发送给此MAC地址的数据都将转发给对应端口。如果主机连接的端口发生改变,则必须修改绑定的端口号或手工删除绑定后,此主机才能上网。一个端口可以绑定多个MAC地址,一个MAC地址只能绑定在一个端口上。