发布时间:2013-09-07
点击量:4780功能介绍:
在无线网络中,由于接入无线网络用户的多样性及不确定性,使得在无线端极有可能出现私设IP地址或者客户端中ARP病毒发起ARP攻击的情况,在无线设备上部署防ARP攻击功能,可以有效解决这些问题。
适用场景说明
无线客户端流动性很大和不确定,比如在外来人员比较多的地方:广场、大厅、会议室和接待室等等。使用该方案可以有效地避免因为无线端出现私设IP地址导致地址冲突或者客户端中ARP病毒发起ARP攻击的情况。
优点:增加无线的安全性,防止无线客户端私设IP地址,防止无线网络因为arp攻击而瘫痪。
缺点:对无线设备的性能要求高,需要消耗无线设备的运行资源,需要增加额外的配置
一、组网需求
防止无线用户私自配置IP地址导致IP地址冲突或者使用ARP攻击软件导致网络瘫痪
二、组网拓扑
三、配置要点
1、AC-1开启dhcp snooping并且配置信任端口
2、配置ARP防护功能
3、清除arp及 proxy_arp表
四、配置步骤
1、AC-1开启dhcp snooping并且配置信任端口
AC-1(config)#ip dhcp snooping //全局启用dhcp snooping
AC-1(config)#interface gigabitEthernet 0/1
AC-1(config-if-GigabitEthernet 0/1)#ip dhcp snooping trust //上联接口配置为信任端口
2、配置ARP防护功能
1)未开启Web认证功能时
AC-1(config)#wlansec 1
AC-1(config-wlansec)#ip verify source //开启IP防护功能
AC-1(config-wlansec)#arp-check //开启ARP检测功能
2)开启Web认证功能时
AC-1(config)#web-auth dhcp-check //开启web认证下的dhcp检测功能(IP防护功能类似)
AC-1(config)#wlansec 1
AC-1(config-wlansec)#arp-check //ARP检测功能
注:目前只有临时版本RGOS 10.4(1b17),Release(149629)及RGOS 10.4(1b18)版本支持web-auth dhcp-check配置,Web认证功能和ip source guard功能冲突。
3、清除arp及 proxy_arp表
AC-1#clear arp-cache
AC-1#clear proxy_arp
五、配置验证
1、无线用户连接到无线网络通过dhcp获取到IP地址被添加到dhcp snooping数据库内。
2、手动配置无线网卡IP地址,无法ping通网关。
3、将无线网卡IP静态配置为其他正常用户的IP地址,其他正常用户不会提示地址冲突。
