西游记第18集剧情简介:公司网络最近出现了ARP欺骗的问题，现象就是在交换机的ARP表里N台电脑对应同一MAC地址，解决办法当然是找到那台发包的电脑就OK了，但不是根本之道啊在以前的公司我利用自产的交换机的在接入层交换机

来源：百度文库编辑：九乡新闻网时间：2024/05/01 03:41:36

公司网络最近出现了ARP欺骗的问题，现象就是在交换机的ARP表里N台电脑对应同一MAC地址，解决办法当然是找到那台发包的电脑就OK了，但不是根本之道啊

在以前的公司我利用自产的交换机的在接入层交换机除了上联端口外禁止了ARP响应包，这样从根本上杜绝了ARP病毒的传播，但现在的环境是思科机上怎么做同样的设置呢？

我在网上找到了一些资料，　不知道哪位做过的DX指点一下

5600系列防ARP的ACL做法！！
以前很多人在这里发相关的防ARP的ACL。但是一直都讲得不是很清楚！在这里我给大家详细讲一下！！

acl number 5000
rule 0 deny 0806 ffff 20 c0a801fe ffffffff 36
rule 1 permit 0806 ffff 20 000fe22306b4 ffffffffffff 30
acl number 5001
rule 0 deny 0806 ffff 20 c0a802fe ffffffff 36
rule 1 permit 0806 ffff 20 000fe22306b4 ffffffffffff 30

0806不用说了！！！
FFFF这个也不用说了！
20是偏移位为20。c0a801fe是IP 192.168.1.254的十六进制表示方法/000fe22306b4为192。168。1。254对应的MAC，另外36是5600的IP偏移位。30是MAC偏移位！不同的产品有不同的偏移位！我是问产品经理得到的！

IBM“人机大战”趣味问答| 2010您最想感谢的CUer是谁？ | 微软开发资料免费下载| TCP/IP实现刨根究底大讨论！ sandss

发短消息
加为好友

sandss 当前离线

UID: 186252
帖子: 35
精华: 0
积分: 734
可用积分: 734
信誉积分: 100
专家积分: 0 (本版:)
空间积分: 809
阅读权限: 20
在线时间: 1 小时
注册时间: 2006-04-14
最后登录: 2011-02-16

侠客

帖子: 35
主题: 7
精华: 0
可用积分: 734
专家积分: 0 (本版:0)
在线时间: 1 小时
注册时间: 2006-04-14
最后登录: 2011-02-16

状态：...当前离线...

[微博] [博客] [短信]

[报告] 2楼 发表于 2007-07-21 22:15 | 只看该作者

我也遇到了,有空一起讨论,12980007

IBM“人机大战”趣味问答| 2010您最想感谢的CUer是谁？ | 微软开发资料免费下载| TCP/IP实现刨根究底大讨论！ cnadl

观水者沧海·星河

发短消息
加为好友

cnadl 当前离线

观水者沧海·星河

UID: 7759136
帖子: 4742
精华: 0
积分: 3435
可用积分: 3435
信誉积分: 100
专家积分: 75 (本版:55)
空间积分: 0
阅读权限: 50
性别: 男
来自: ★梦幻☆忘情之都
在线时间: 783 小时
注册时间: 2004-01-05
最后登录: 2011-03-30

精灵使

帖子: 4742
主题: 100
精华: 0
可用积分: 3435
专家积分: 75 (本版:55)
来自: ★梦幻☆忘情之都
在线时间: 783 小时
注册时间: 2004-01-05
最后登录: 2011-03-30

状态：...当前离线...

[微博] [博客] [短信]

[报告] 3楼 发表于 2007-07-22 02:42 | 只看该作者

cisco的darp inspection，可以部署在有dhcp的dhcp snooping环境下，也可以和静态mac acl关联，当然直接部署mac acl也可以，不过傻了点，不够优雅。

IBM“人机大战”趣味问答| 2010您最想感谢的CUer是谁？ | 微软开发资料免费下载| TCP/IP实现刨根究底大讨论！ 圣诞老人

发短消息
加为好友

圣诞老人 当前离线

UID: 1771710
帖子: 268
精华: 0
积分: 271
可用积分: 271
信誉积分: 100
专家积分: 0 (本版:)
空间积分: 0
阅读权限: 20
在线时间: 0 小时
注册时间: 2003-07-17
最后登录: 2008-11-26

精灵王

帖子: 268
主题: 50
精华: 0
可用积分: 271
专家积分: 0 (本版:0)
在线时间: 0 小时
注册时间: 2003-07-17
最后登录: 2008-11-26

状态：...当前离线...

[微博] [博客] [短信]

[报告] 4楼 发表于 2007-07-27 12:55 | 只看该作者

QUOTE:原帖由 cnadl 于 2007-7-22 02:42 发表 http://bbs.chinaunix.net/images/common/back.gif
cisco的darp inspection，可以部署在有dhcp的dhcp snooping环境下，也可以和静态mac acl关联，当然直接部署mac acl也可以，不过傻了点，不够优雅。

在3楼所说的基础上，加上一点也许更加会有效果，就其启用端口安全。但是启用这些安全保护后，对交换机的性能会有很大的消耗。
建议在3560以上的交换机上实施

公司网络最近出现了ARP欺骗的问题，现象就是在交换机的ARP表里N台电脑对应同一MAC地址，解决办法当然是找到那台发包的电脑就OK了，但不是根本之道啊在以前的公司我利用自产的交换机的在接入层交换机交换机的作用是什么 ???? ARP、ARP欺骗、网关网络知识的比喻教学《交换机的通道技术》11 交换机端口的三种链路类型交换机交换的工作方式交换机的116个知识点二层交换机之间的跨网段访问请教达人：如何配置Cisco交换机的IP地址？解决ARP欺骗和攻击的方法关于如何用交换机共享上网的问题 ARP攻击的原理和解决办法交换机不同场合TRUNK的不同含义 cisco 2918交换机灌注IOS的方法。比较全面的三层交换机配置集线器、交换机和路由器的区别关于光纤通道存储交换机的几个问题交换机端口的几个链路类型各种交换机的数据接口类型大全交换机共享上网的具体方法直接用交换机共享上网的方法 3层交换、一次路由，多次转发、MLS 二、三、四层交换机的区别。在担保公司，我见识了各种各样的骗子1 防止同网段ARP欺骗攻击的配置方法