关于ACL限制ARP欺骗的问题
公司网络最近出现了ARP欺骗的问题,现象就是在交换机的ARP表里N台电脑对应同一MAC地址,解决办法当然是找到那台发包的电脑就OK了,但不是根本之道啊
在以前的公司我利用自产的交换机的在接入层交换机除了上联端口外禁止了ARP响应包,这样从根本上杜绝了ARP病毒的传播,但现在的环境是思科机上怎么做同样的设置呢?
我在网上找到了一些资料, 不知道哪位做过的DX指点一下
5600系列防ARP的ACL做法!!
以前很多人在这里发相关的防ARP的ACL。但是一直都讲得不是很清楚!在这里我给大家详细讲一下!!
acl number 5000
rule 0 deny 0806 ffff 20 c0a801fe ffffffff 36
rule 1 permit 0806 ffff 20 000fe22306b4 ffffffffffff 30
acl number 5001
rule 0 deny 0806 ffff 20 c0a802fe ffffffff 36
rule 1 permit 0806 ffff 20 000fe22306b4 ffffffffffff 30
0806不用说了!!!
FFFF这个也不用说了!
20是偏移位为20。c0a801fe是IP 192.168.1.254的十六进制表示方法/000fe22306b4为192。168。1。254对应的MAC,另外36是5600的IP偏移位。30是MAC偏移位!不同的产品有不同的偏移位!我是问产品经理得到的!