一、防范局域网中ARP欺骗攻击
现象:内网中有些非法的PC冒充网关回应正常PC发出的ARP请求包,导致电脑发送数据,所有的流量进入到非法PC机上面,导致用户不能上网。
操作: 三层交换机上做网关绑定,重要服务器,电脑的ARP绑定
电脑绑定网关ARP,域控,重要服务器地址
华为交换机arp绑定命令:
#arp static 10.251.X.X XXXX-XXXX-XXXX
电脑终端arp绑定命令:
查询 netsh interface ipv4 show in
netsh -c "interface ipv4" add neighbors idx "10.251.X.X" "10.251.X.X" (这里的idx是根据你查询的结果填写的)
二、防范内网中的DHCP攻击
现象:在内网管理中,经常有员工接入路由器接入到LAN,导致企业中有多个DHCP地址服务器。电脑收到非法的DHCP服务器地址IP,数据会被拦截,也会导致上不了一些业务网站。
操作:我们可以配置DHCP信任端口,改配置一般配置在接入层,因为数据转发和核心层一般在机房。开启非信任端口后,该端口下收到DHCP OFFER和DHCP REQUEST报文后会直接丢弃,避免非信任端口下有其他非法的DHCP服务器。
配置命令:
全局模式下:
dhcp
dhcp snooping enable
端口模式下:
dhcp snooping trusted
三、防范内网中的环路
现象:在局域网中,有些员工加入网络时接线错误,将网线两端接入到统一交换机中,使得交换机端口环路,严重的使交换机CPU飘高,环路的端口下流量会异常高。使局域网上网网速慢,打开卡,网管人员进入交换机也卡。
操作:我们可以配置华为交换机的loopback-detect的防环命令。
配置命令:
全局模式下:
# loopback-detect enable
在接口模式下:
# interface GigabitEthernet0/0/1
#loopback-detect action shutdown -----(在此接口下检测到环路会执行端口shutdown)
# interface GigabitEthernet0/0/2
#loopback-detect action shutdown
查看环境检测信息
#display loopback-detect