在企业网络中,为了保证企业数据的安全和一些接入控制权限,交换机的四元绑定功能在实际的业务部署中是不可缺少的!
四元绑定搭配ARP防护可以保障网络接入终端的安全准入,也能保护内网数据安全,阻断ARP攻击和非法主机伪造IP地址访问网络的可能。
今天小商就来教你
如何设置四元绑定搭配ARP防护
四元绑定是如何工作的?
在交换机中,主要通过创建四元绑定条目来实现防ARP欺骗,IP源防护的功能。
交换机的四元绑定条目包含交换机端口,交换机端口所在VLAN,该端口上的终端的MAC地址以及IP地址。
交换机在拿到终端的四元信息条目之后,可以根据终端发出的报文数据包,将源MAC和IP匹配已经创建的四元绑定条目信息,如果完全匹配则放行,如果不匹配则丢弃该报文,以此来实现防ARP欺骗、防ARP攻击的功能,保障网络安全。
如何设置?
1、创建四元绑定条目并指定防护范围
用户可以在交换机设置页面通过手动绑定、扫描绑定、DHCP侦听动态创建来设置四元绑定条目白名单。
【1】手动绑定
手动输入终端IP、MAC、交换机端口和所在VLAN。
【2】扫描绑定:输入终端所在的IP地址范围
【3】DHCP侦听动态创建:
在【DHCP侦听】中启用DHCP侦听和四元表绑定。
注意:创建条目完成后可在四元绑定绑定列表查看,切记条目一定需要勾选防护范围,否则该条目在防护过程中将不会生效。
2、启用ARP防护功能
在交换机【ARP防护】-【防ARP欺骗】功能页面,将源MAC验证,目的MAC验证,IP验证勾选启用,并使能生效VLAN。
3、调整防ARP攻击中ARP报文速率
交换机使能了VLAN的ARP防护之后,交换机防ARP攻击也立即生效,交换机默认限制每个端口的ARP包数量是15PPS,端口的ARP报文高于这个数目交换机将会将端口断开,因此需要根据情况调整ARP速率;如果端口选择信任,那么该端口将不再有任何限制(关闭了所有的防护功能)。
4、启用IP源防护
客户可根据自己需求是否启用IP源防护功能,IP源防护功能是交换机根据四元绑定条目对接收的IP包进行过滤,只处理数据包相关字段与四元绑定表吻合的数据包,提高交换机带宽资源的利用率。
至此,即可完成对交换机终端设备的精确接入控制,保护企业网络数据的安全。
发表回复