【运维小能手】 某单位出现ARP攻击,对于所有外网电脑绑定MAC

花不语
花不语  Platinum  (1)
3 years 4 months ago  View: 2426  Reply: 2


【案例摘要】


最近巡检发现ARP攻击特别多,导致网络出现部分抖动


1、 问题描述



近来发现ARP攻击在核心交换机上出现大量日志,给各位使用者带来迟缓的上网体验。

ip冲突也出现频繁


2、 原因分析

 导致以上问题的原因初步判定为

a、手动配置IP地址导致与网络其他终端ip冲突。

b、办公室私自增加路由器,但是路由器的DHCP开启,导致在同一台接入交换机上的终端    会获取到无线路由器分配的地址导致环路。

c、大量的ARP攻击导致交换机的负荷增大、性能下降。





2 、问题分析


查看对比日志确定的以上分析的原因导致


3 、问题解决


对于ip和MAC绑定


第一种:是对于所有终端让只能自动获取IP地址才能连接互联网

S7506E:


DHCP enable 

dhcp server ip-pool 15

network 110.255.11.0 mask 255.255.255.0

gateway-list 110.255.15.1

dns-list 218.30.19.40 61.134.1.4

expired day 365


vlan 15

 description 15F

 


interface Vlan-interface15  

description 15F  

ip address 110.255.15.1 255.255.255.0




15楼上联接入交换机:


dhcp-snooping   


vlan 115

description 15F

arp detection enable

port Ethernet 1/0/1 to Ethernet 1/0/24





上行接口

int g1/1/2

port link-type trunk

port trunk permit vlan all

dhcp-snooping trust

arp detection trust

-----------------------------------------------------------

第二种:是让所有的终端必须手动配置指定的IP地址才能连接互联网


S7506E:



vlan 11   

description 11F

arp detection enable


interface Vlan-interface11     

ip address 110.255.11.1 255.255.255.0



arp detection 1 permit ip 110.255.11.31 mac 0810-76FE-1234

arp detection 2 permit ip 110.255.11.32 mac A815-4DAE-2345

arp detection 3 permit ip 110.255.11.33 mac 005A-391D-3546




11楼上联接入交换机:


dhcp-snooping 



上行接口

int g1/0/24

port link-type trunk

port trunk permit vlan all

dhcp-snooping trust

arp detection trust

port link-aggregation group 1



Vlan 111

port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/47




4、 经验总结


对于运维人员来讲还是要在前期多下功夫,这样就会避免以后的运维工作中不断出现问题而导致每天的工作量都很大。

Ken_liu
Ken_liu  Gold 
3 years 4 months ago
感谢分享
tongtong1204
tongtong1204  Silver 
3 years 4 months ago
感谢分享....