产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机
查看交换机首页 >

无线

无线所有产品
< 返回产品
无线
查看无线首页 >

云桌面

云桌面产品方案中心
< 返回产品
云桌面
查看云桌面首页 >

安全

安全所有产品
< 返回产品
安全
查看安全首页 >
产品中心首页 >
行业
行业中心
< 返回主菜单
行业
行业中心首页 >

【无线】无线的防ARP攻击功能

发布时间:2013-09-07
点击量:4615

功能介绍:

在无线网络中,由于接入无线网络用户的多样性及不确定性,使得在无线端极有可能出现私设IP地址或者客户端中ARP病毒发起ARP攻击的情况,在无线设备上部署防ARP攻击功能,可以有效解决这些问题。

适用场景说明

无线客户端流动性很大和不确定,比如在外来人员比较多的地方:广场、大厅、会议室和接待室等等。使用该方案可以有效地避免因为无线端出现私设IP地址导致地址冲突或者客户端中ARP病毒发起ARP攻击的情况。

优点:增加无线的安全性,防止无线客户端私设IP地址,防止无线网络因为arp攻击而瘫痪。

缺点:对无线设备的性能要求高,需要消耗无线设备的运行资源,需要增加额外的配置

一、组网需求

防止无线用户私自配置IP地址导致IP地址冲突或者使用ARP攻击软件导致网络瘫痪

 

二、组网拓扑 

 

三、配置要点

1、AC-1开启dhcp snooping并且配置信任端口

2、配置ARP防护功能

3、清除arp及 proxy_arp表

 

四、配置步骤

1、AC-1开启dhcp snooping并且配置信任端口

AC-1(config)#ip dhcp snooping //全局启用dhcp snooping

AC-1(config)#interface gigabitEthernet 0/1

AC-1(config-if-GigabitEthernet 0/1)#ip dhcp snooping trust //上联接口配置为信任端口

2、配置ARP防护功能

1)未开启Web认证功能时

AC-1(config)#wlansec 1

AC-1(config-wlansec)#ip verify source //开启IP防护功能

AC-1(config-wlansec)#arp-check //开启ARP检测功能

2)开启Web认证功能时

AC-1(config)#web-auth dhcp-check //开启web认证下的dhcp检测功能(IP防护功能类似)

AC-1(config)#wlansec 1

AC-1(config-wlansec)#arp-check //ARP检测功能

注:目前只有临时版本RGOS 10.4(1b17),Release(149629)及RGOS 10.4(1b18)版本支持web-auth dhcp-check配置,Web认证功能和ip source guard功能冲突。

3、清除arp及 proxy_arp表

AC-1#clear arp-cache 

AC-1#clear proxy_arp 

 

五、配置验证

1、无线用户连接到无线网络通过dhcp获取到IP地址被添加到dhcp snooping数据库内。

2、手动配置无线网卡IP地址,无法ping通网关。

3、将无线网卡IP静态配置为其他正常用户的IP地址,其他正常用户不会提示地址冲突。

 

 

 

相关产品

返回顶部

请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式