在思科交换机上防范典型的欺骗和二层攻击

来源：vlan9收集作者：出处：巧巧读书 2007-12-23 进入讨论组

5 IP地址管理和病毒防范的新思路

5.1IP地址管理

综上所述通过配置思科交换机的上述特征，不仅解决了一些典型攻击和病毒的防范问题，也为传统 IP地址管理提供了新的思路。

通过上面的几项技术解决了传统的利用DHCP服务器管理客户端IP地址的问题：

• 故意不使用手工指定静态 IP地址和DHCP分配地址冲突

• 配置 DHCP server

• 使用静态指定 IP遇到的问题

• 不使用分配的 IP地址和服务器或其他地址冲突

• 不容易定位 IP地址和具体交换机端口对应表

使用静态地址的重要服务器和计算机，可以进行静态绑定 IP+MAC、IP+MAC+PORT，手工配置DAI和 IP Source Guard绑定表项，来保护这些设备，同时也防止来自这些设备的攻击。

目前对于网络病毒的不断爆发，越来越多的用户开始重视对 PC的管理，用户关注谁能访问网络、访问以后能做什么、做了哪些事情、这就是我们常说的AAA认证，除了这些用户希望能够很快定位到用户在哪台交换机、哪个端口、以哪个IP和MAC登陆，这样有有了”AAA+A”( Authenticate, Authorize,Account , Address )的概念。

通过上面的配置我们在网络层面已经可以定位用户了，加上 802.1X认证我们可以在网络层面根据用户的身份为用户授权，从而实现”AAA+A”。

更进一步要审计用户所使用电脑具备的条件，如系统补丁、所装杀毒软件及补丁、等条件可以考虑采用思科网络准入控制 NAC。

5.2使用DHCP Snooping 、DAI、IP Source Guard技术能解决的有关病毒问题

由于大多数对局域网危害较大的网络病毒都具有典型的欺骗和扫描，快速发包，大量 ARP 请求等特征，采用上述技术一定程度上可以自动切断病毒源，及时告警，准确定位病毒源。文章地址： http://www.qqread.com/exchange/e721293108.html