交换机如何防止arp攻击

在网络方面的arp攻击是很普遍的，所以很多朋友都会用交换机来防止arp攻击，那交换机如何防止arp攻击呢？了解网络安全常识，首先就要了解常见电脑黑客攻击类型与预防方法，下面小编就带您认识一下吧。

1、配置静态ARP

首先，确认网关设备、局域网内重要服务器以及本机的IP地址、MAC地址。

通过在DOS界面输入ipconfig/all命令可查本机IP、MAC和网关IP。通过在DOS界面输入arp–a命令可查网关IP所对应的MAC地址。局域网内其他重要服务器的IP、MAC需登陆服务器再通过ipconfig/all查询。

其次，配置静态ARP绑定。

新建一个记事本文档，输入以下命令：

arp–d//清空ARP缓存表

arp-d

arp-d

arp-s192.168.16.100-00-00-00-01//配置静态ARP，绑定网关的IP与MAC

arp-s192.168.16.200-00-00-00-02//配置静态ARP，绑定服务器的IP与MAC

arp-s192.168.16.300-00-00-00-03//配置静态ARP，绑定本机的IP与MAC

注：如果网关是两交换机启用了vrrp后的虚拟ip，则应该将网关ip绑定vrrp的虚mac，格式为00-00-5e-00-01-[vrid]（vrid是指启用vrrp的备份组号）。

配置完成后，将其另存为arp.bat文件（注意后缀名需为bat）。

最后，将arp.bat文件放入主机的启动项中。

打开电脑的启动项目录。具体操作是点击“开始”→“程序”→“启动”右键单击选择“打开所有用户”；

将arp.bat文件放入打开的目录中，这样程序就会在每次开机时自动运行；

2、网关设备侧攻击防范

首先，对二层交换机（接入设备）配置规范。

在与PC直接相连的端口上配置静态MAC，同时禁止动态学习MAC。

[S2403H]mac-addressstatic0002-0002-0002interfaceEthernet0/7vlan10

[S2403H]interfaceEthernet0/7

[S2403H-Ethernet0/7]mac-addressmax-mac-count0

注：配置顺序一定要注意，要先配置静态MAC，再在端口下禁止动态学习MAC；如要对静态MAC绑定的数据做任何修改和删除，也要先在对应端口下删除mac-addressmax-mac-count0，修改完成后再在端口重新添加mac-addressmax-mac-count0。否则设备易出错，切记！

完成了如上配置后，某端口下只能连接指定MAC的PC，如果有非法PC企图接入网络或原合法PC机中毒后企图发起一些变换MAC的攻击，则新的MAC地址不会被端口所学习。这样，大大加强了二层网络的安全性。

其次，三层交换机（网关设备）配置规范。

在三层交换机上配置静态ARP绑定下挂PC机的IP与MAC地址，防止下挂PC随意变动IP地址或发起ARP攻击。

最后，交换机既作网关又作接入时的配置规范（综合前两项）。

在与PC直接相连的端口上配置静态MAC，同时禁止动态学习MAC；

暂时不被使用的端口应该手动shutdown；

配置静态ARP绑定下挂PC机的IP与MAC地址，防止下挂PC随意变动IP地址或发起ARP攻击。

关于网络安全小知识，小编为您介绍和普及这么多了，看完上面的介绍，您对“交换机如何防止arp攻击”这个问题了解多少了呢？综上我们可以看到，预防arp攻击最好的办法就是相关的安全操作以及安全设置，只有这样才能够减少arp的攻击频率。