今天看到PConline上的相关文章,感觉写得不错,在这里分享给大家。

至于相关的配置命令,我也会紧接着跟进,与大家分享,若有什么不正确的地方,也欢迎大家多多交流。

首先限定一下话题的范围,本贴谈论的是中小型企业,何为中小?比如几十台电脑,甚至上百台电脑都算,几台48口 交换机这样的环境还是挺常见的。这样的企业对对网络其实有不低的要求,但基本都不重视,没办法,重视就意味着要花钱,能用就好了。
道听途说:以前在学CCNA时,在聊到企业网络,有位同学说,361度不小了吧,算是个有规模企业,但其实网络一样烂,用的就TP的傻瓜型交换机,想管,管个毛啊~  由此可见一斑吧,有些公司虽然不小,但机房里的东西与你家我家里的无线路由器也没什么区别,凑合了事。
一般的中小(偏小型)企业网络结构都非常简单,可能只是个平面的二层网络,然后通过路由器(网关)接入ISP,最多在路由器上设置一些策略,办公,上网,网络通畅,这些必需的需求基本都OK了。
本人没进过361度的机房,不过相信那位同学说的应该是实情,只是,他可能话只说了半句。相信361度的机房中肯定是有3层交换机,VLAN肯定也是有的,只是在接入层,没有使用像思科2960,2950这样的可管理交换机产品。这等于对接入层“大撒把”,做过网管的肯定都知道,接入层交换机上的策略,其实是保障内网安全稳定最重的手段。

题外话:N多国内的网络设备厂商,只见他们一个劲的推自己的路由器,说的万能一样,但从不见他们在交换机上说点什么,其实交换机不重要吗?路由器在一般的企业中只是跑个NAT,这才是路由器的核心应用,其它像安全,内网管理基本都是半吊子功夫。也没办法,目前的中小企业市场就是这个样子,忽视交换机应该提供的功能,反而交给路由器(网关)去做,到头来就是问题多多。比如:路由器搞定个ARP问题难死它一样,效果还不好,厂家却在一旁鼓吹我们用了XX技术,保你ARP没问题,好像做了多大的技术革新一样,但其实,如果用交换机防御ARP问题,这都不算个事,而且解决效果还好。

刚在淘宝查了下,二手的思科2950才几百玩,虽然是上一个时代的产品了(不然也不会这么便宜),但一般环境还是足够用的。

clip_p_w_picpath002

也接触过一些国内SOHO级别的路由器产品,他们是怎么防护ARP***的呢?简单的说,就是以毒攻毒。
以太网络在第二层根据MAC寻址,同时还需要与第三层的IP地址相对应,ARP正是得到这种对应关系的协议。而电脑(比如XP)基本不会检察这种对应关系正确与否,默认全部相信。这就有问题了,但同时也提供了问题的解决方法。
A电脑想上网,B电脑搞坏,给A电脑发了个ARP消息,说自己是网关,A就傻乎乎的信了,然后所有与INTERNET之间的交互都会通过B,B就成为了中间人,当然B最终会将A的请求转发给网关,但A的所有数据都被人看见了鸟~
针对这种***,一般的宽带路由器怎么做呢?答案是路由器不停的向内网发送ARP广播,不停的大喊,我才网关,我才是网关,这种方式是否有效呢?这要看,是路由器喊的勤快还是B电脑喊的勤快。 着实是很无奈的方法,效果好不好也就不说了,用过的都知道。这种方法还会大量消耗内网的资源,因为广播泛滥。广播域越大,这招的作用越小,而负作用反而会越大。
题外话:路由器上,IP/MAC绑定有什么用? 更多是一种管理机制,比如不让用户私自配置IP,它对ARP***几乎没用。
如果是IP欺骗呢?电脑B向内网发送虚假的IP/MAC对应关系,但其它的主机,包括路由器都会信以为真,这时就真的玩完了。最要命的是,你无法确定B主机是谁,解决问题的时间可能会很长。
还有DHCP欺骗,与ARP没什么关系,但同样是内网中常见的***形式。
基本就这些***方式吧,没说到的欢迎补充,共同学习。没有一样是路由器能搞定的,或说路由器提供的方法很业余。

常见的内网*** 虚假DHCP服务
如果有人在内网自己弄了个DHCP服务器(这东西很好弄),当主机A发送DHCP请求广播时,假造的DHCP服务器就能处理这一请求,比如将自己的IP地址通告为网关。主机A上网什么的,所有的数据流将经过虚假的网关,自然就再没有秘密可言。或也可能只是误操作导致启用了DHCP服务,但结果是一样的,内网主机将得到错误的IP地址
在中小型企业网中,DHCP服务一般集成在路由器上,正常时没有任何问题,但如果内网有虚假的DHCP服务器,路由器也没有什么好的方法反制。可管理型交换机是可以做到的,但,为了省钱买的是傻瓜型交换机,那怎么办?没办法,你只能希望没有人在内网中搞破坏,阿弥陀佛~
在思科交换机上怎么防范虚假DHCP***呢?机制很简单,在启用防DHCP欺骗之后,交换机会将所有端口分为两类:可信端口和不可信端口。只有真正的DHCP服务器才被允许接在可信端口上,其它所有主机将连接不可信端口。
DHCP请求的过程是通过发送广播完成的,A主机发出请求,此时交换机不会干扰,但对于DHCP应答,交换机会判断其来自哪里,并只允许在可信端口上通过,如果非可信端口收到了应答,那一定是虚假DHCP服务器所为,不转发应答,同时关闭端口。端口被关闭了是不是必须手工开启呢?可以手工开启,也可以设置自动恢复,很方便,并不会给IT增加工作量。
原理就这么简单,这种行为是基于交换机端口实现的,如果交换机是不可管理的傻瓜型,就没法做到有效防范虚假DHCP。
配置命令就不说啦,也就比使用傻瓜型交换机麻烦一点,真的很简单,但效果是非常OK的!

伪造IP地址

每台主机都有一个IP,发送接收数据时,也是用这个IP,正常情况下是这样。但是恶意行为导致,主机可能使用别人的IP,或仅是一个随机的IP向外发送数据,这样内网就乱套了。同样,非常难定位是哪台主机在搞乱。

对于这种不老实的行为,路由器也是没办法,同样也要从交换机端口入手。交换机可以确定IP地址和端口号的绑定关系。对于一个端口来讲,什么是合法IP,什么是非法IP就非常好分辨了,只是允许具有正确匹配关系的分组通过,丢弃非法的分组。

伪造MAC地址

MAC地址同样可以造假,比如网关的IP地址是192.168.1.1 MAC地址是aa.aa.aa.aa.aa.aa,如果有人搞乱,发个免费ARP,内容是IP地址是192.168.1.1 MAC地址是bb.bb.bb.bb.bb.bb,那所有电脑都会相信,在往IP地址是192.168.1.1发送数据时,要发送到bb.bb.bb.bb.bb.bb。

上面已经说过,路由器可以通过发送ARP信息不停的刷新其它主机的ARP表,让数据转发到正确的地址上来,但恶意主机也可以使用同样的方法,两方只是在较劲,这就是路由器所做的。

解决问题,还得从交换机端口入手。默认情况,每个端口只连接一台主机,也就是说,只有一个MAC是合法的,把端口与MAC绑定,这样伪造的分组就无法进入内网,在收到伪造MAC时,交换机端口可以关闭,或仅仅是丢弃,这要看具体的配置,总这机制很灵活。恢复端口同样可以选择手工恢复或自动恢复,并不会增加管理成本。

上面说的两种恶意行为,路由器都无法提供反制手段,至少是有效的反制手段,还得交换机出手,本来就是交换机应当承担的职责。花300元,买几台二手的思科,华为,H3C,真的不贵。只有一个问题,设置起来可能需要一些技术功底,比如,可能至少需要CCNA才能搞定。

还有一种***,恶意主机B就在那等着,等着有人上门来。A想上网,于是发了个ARP请求,问网关的MAC地址是什么,正常情况下,只有网关才会响应这样请求,但B不怀好意,他回应了这个请求,那A就信了,于是把所有数据就发送到了B,B再转发,但同时,B也看到了所有A的数据交互。肿么办,肿么办? 路由器有木有方法解决?木有!
同样也要从交换机端口入手。思科交换机是这样做的,将所有端口区分为可信端口和不可信端口,在不可信端口上收到ARP应答后,交换机根据已知的MAC和IP地址信息进行检查,这样真假ARP应答信息就很好分辨了,放行真的,丢弃假的。有一个小问题,交换机怎么分辨什么是真什么是假,依据是什么,依据是DHCP对应关系或静态配置。
具体的配置也不难,几个命令而已。

话说,没人希望在网络建设上多花一分钱,当然也不会为维护网络请个 NA 或 NP 什么的,可以理解,省钱嘛。 但是省钱必然也就会带来一些问题,比如,本来很简单的内网安全,基本在中小企业中很难见到有哪个公司重视,但出问题了,也确实让人崩溃,是不是会因些完善一下网络呢?可能基本又不会。
懂点技术,自己弄些思科 华为二手来,说实话,确实不错,但这里又存在一个技术 门槛,不是每个人都会配这些设备,这条路也被堵死了。
所以,傻瓜型交换机,有市场,还是有自己的道理的,一台路由器,被集成了太多功能,成为万能网关(虽然不可能是万能),也是有自己的道理。

以上出自 “太平洋电脑网”,本人针对本篇文章中所用到的相关的配置命令,收集到下一篇文章当中:" 在思科交换机上防范典型的欺骗和二层***",若有兴趣,千万不要错过哦。