Cisco sw 针对ARP攻击的相关安全设置:
(二层SW即可)
一法:(基于SW端口MAC地址绑定,主要是使一个端口对应一台主机,该端口只允许该主机的MAC地址经过)
Switch#conf t
Switch(config)#mac-address-table static [该端口所连主机的MAC地址] vlan 1 interface f0/1 /* 划分有几个vlan,则将其中的vlan 1改为 vlan [vlan ID] , 接口其他的都设置同 fa0/1 */
Switch(config)#interface fa0/1
Switch(config-if)#swtichport mode access
/*设置该端口为访问模式,又称接入端口,只能在接入端口上启用端口安全性,下一步就是启用端口安全性 */
Switch(config-if)#switchport port-security maximum 1 /* 启用端口安全性,并且只允许一台设备接入.如果 要让交换机允许多个地址连接该接口,只需将maximum 后的数值设为指定的数值即可,最大允许132个地址*/
Switch(config-if)#swtichport port-security mac-address [该端口所接主机的MAC地址] /*配置 fa0/1端口要绑定的主机的MAC地址,只有该MAC地址可连接该端口*/ Switch(config-if)#exit
Switch(config)#swtichport port-security violation shutdown /*该端口违规,有其他MAC地址接入则强制关闭 */
二法:(基于MAC地址的访问控制)
Switch(config)#mac access-list extended mac1
Switch(config)#permit host [MAC address] any
Swtich(config)#int fa0/1
Swtich(config-if)#mac access-group mac1 in
三法:(同时绑定IP同MAC地址到ACL)
Switch(config)#mac access-list extended mac1
Switch(config)#permit host [MAC address] any
Switch(config)#permit any host [MAC address]
Switch(config)#ip access-list extended ip1
Switch(config)#peirmit [ip] 0.0.0.0 any
Switch(config)#permit any [ip] 0.0.0.0
Switch(config)#int f0/1
Switch(config-if)# mac acess-group mac1 in
Switch(config-if)#ip access-group ip1 inPS: 此三法之外,还采用过一个在端口上设置arp -s [ip] [MAC]的方法。