一背景分析
隔离广播域,防止arp攻击我们通常的方法有两种,一种是vlan,另外一种是端口隔离技术,这两种方法各有自己的特点与优势。
端口隔离技术在实际组网中应用十分广泛,再接入层使用端口隔离技术能有效的阻断各个端口之间的二,三层流量。能够有效的防治arp攻击。但是端口隔离具有本地性不同交换机相同vlan端口隔离就起不到限制的作用,广播报文还是能够发送给其他交换机的所有端口。
Vlan技术本身就能限制广播域,在接入层使用hybrid技术可以使一个端口属于一个vlan从而使这种方式能具有全局性,能更加有效的防治广播以及arp攻击,但是hybrid口复杂的标签转换过程会消耗交换机的资源从而使转发效率降低。
如何找到折中的方法?
二原理分析
经过对端口隔离以及arp报文转发的研究提出使用分层端口隔离技术,这种方法是一种折中的方案。在试验环境下已经得到验证。
首先我们应该了解端口隔离的具体作用---隔离组内的端口不能通信,隔离组外的同Vlan(包括thunk)的端口能和组内任意端口通信。
所谓分层端口隔离技术就是在接入交换机对用户隔离,在汇聚层对接入交换机隔离,同一个vlan之间通过本地代理arp互访,也可以不使用本地代理arp使同一个vlan达到完全隔离,不同网段之间通过vlan隔离,他们之间的arp请求通过网关三层接口完成。
实验拓扑图
三详细分析
1 同vlan之间的arp请求过程以及广播限制区域
本vlan内的arp请求过程
此种方法说白了就是所有用户到网关的链路单独属于一个广播域,同一Vlan内的主机只能直接与网关通信,除非使用本地代理arp
2 不同vlan之间的arp请求过程
使能普通代理arp之后,即使终端配置不同的vlan的网关,或者不配置网关都能正常通讯。
普通代理arp与本地代理arp
http://www.h3c.com.cn/Products___Technology/Technology/IPv4_IPv6_series/Other_technology/Technology_recommend/200812/623583_30003_0.htm
这种方法与端口隔离技术相比隔离的更加彻底,同时也不会像hybrid端口那样频繁的对标签进行操作。如果同网段内有通讯需求可以开启本地代理arp,如果没有需求可以关闭。这样也会减少网关设备对arp的相应所造成的资源消耗。