當前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

用VLAN優(yōu)化網(wǎng)絡(luò) 輕松應(yīng)對ARP病毒

http://m.yibo1263.com　2008/8/19 8:17:02 　來源:ccident 　編輯:葉子

　　近日，某公務(wù)大廈寬帶網(wǎng)絡(luò)出現(xiàn)頻繁中斷現(xiàn)象，開始是幾臺電腦，接著不斷蔓延，最后整個局域網(wǎng)幾乎完全癱瘓，嚴重影響員工辦公。該如何應(yīng)對這不斷入侵的ARP病毒呢？

　　近期ARP病毒肆虐，幾乎騷擾了所有的局域網(wǎng)，所到之處，網(wǎng)絡(luò)故障頻繁，網(wǎng)速突然變慢，而且網(wǎng)絡(luò)連接時斷時續(xù)，輕則影響正常的工作秩序，重則可導(dǎo)致整個局域網(wǎng)絡(luò)癱瘓，甚至造成無法彌補的損失。因而，如何采取行之有效的措施防范ARP病毒，已成為近期網(wǎng)絡(luò)安全工作的重中之重。

　　這里筆者以某公務(wù)大廈的局域網(wǎng)改造情況為例進行分析，介紹如何采用VLAN技術(shù)對局域網(wǎng)進行優(yōu)化改造，從而有效防范ARP病毒的攻擊。

　　網(wǎng)絡(luò)現(xiàn)狀

　　該公務(wù)大廈局域網(wǎng)絡(luò)具體現(xiàn)狀為：公務(wù)大廈共分9層，大廈寬帶網(wǎng)絡(luò)通過100M光纖上聯(lián)到網(wǎng)通公司招商局模塊為S6502交換機。在公務(wù)大廈一樓中心機房通過光電收發(fā)器將光信號轉(zhuǎn)換成電信號后，通過百光網(wǎng)線上聯(lián)至H3C的防火墻外網(wǎng)口。防火墻內(nèi)網(wǎng)口經(jīng)過一臺樓宇交換機轉(zhuǎn)接至各樓層交換機，每樓層各有一臺清華比威的樓宇交換機作為相應(yīng)樓層辦公室的寬帶接入使用。防火墻外網(wǎng)口配置網(wǎng)通公司分配的專線IP地址，內(nèi)網(wǎng)口配置私網(wǎng)IP地址，防火墻作為NAT設(shè)備使用，配置兩個外網(wǎng)口和四個內(nèi)網(wǎng)口。實際網(wǎng)絡(luò)環(huán)境中使用了一個外網(wǎng)口（WAN0）和一個內(nèi)網(wǎng)口（LAN0），所有的樓宇交換機均在一個VLAN內(nèi)，公務(wù)大廈各辦公室的終端計算機配置防火墻內(nèi)網(wǎng)口的私網(wǎng)IP地址進行互聯(lián)網(wǎng)的訪問。

　　目前接入的終端機數(shù)量接近300臺，由于各樓層的樓宇交換機與防火墻的內(nèi)網(wǎng)口均在同一VLAN內(nèi)，內(nèi)網(wǎng)IP只有一個網(wǎng)段，造成同一VLAN內(nèi)的節(jié)點數(shù)量較多，存在大量的廣播報文，一方面導(dǎo)致用戶網(wǎng)速減慢，另一方面由于部分終端機感染ARP病毒，迅速導(dǎo)致整個網(wǎng)絡(luò)大面積爆發(fā)ARP病毒，造成整個局域網(wǎng)的不穩(wěn)定。改造前的網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1所示。

　�。粒遥胁《咀鞴�

　　近期，該公務(wù)大廈寬帶網(wǎng)絡(luò)連續(xù)出現(xiàn)網(wǎng)絡(luò)頻繁中斷，裝有360安全衛(wèi)士并開啟局域網(wǎng)攻擊攔截功能的終端計算機會突然出現(xiàn)一個 “攔截提示”對話框——“360已攔截一次ARP攻擊”，然后就掉線。重新啟動操作系統(tǒng)可以暫時恢復(fù)，過一小會兒又出現(xiàn)“360已攔截一次ARP攻擊”，然后又掉線，需要不斷重新啟動操作系統(tǒng)，而查殺令人討厭的電腦木馬和病毒均為0。沒有安裝360安全士或者沒有開啟局域網(wǎng)攻擊攔截功能的終端計算機則會突然網(wǎng)絡(luò)中斷。開始是幾臺電腦出現(xiàn)上述情況，后來出現(xiàn)這種癥狀的電腦越來越多，直至整個局域網(wǎng)幾乎完全癱瘓。盡管網(wǎng)絡(luò)管理員根據(jù)預(yù)先統(tǒng)計的終端IP和與其綁定的MAC地址能查到發(fā)病的終端計算機，并及時對發(fā)病終端進行處理，但是，由于終端太多，而且都在同一個VLAN內(nèi)，一旦有一臺終端感染ARP病毒，就會迅速波及到整個網(wǎng)絡(luò)，給徹底清除ARP帶來非常大的困難。

　　升級改造網(wǎng)絡(luò)

　　為徹底解決這一問題，網(wǎng)絡(luò)管理員決定對網(wǎng)絡(luò)進行升級改造。由于該公務(wù)大廈樓層多且終端多，網(wǎng)絡(luò)布線復(fù)雜，網(wǎng)管認為應(yīng)該在保證安全性、保密性的基礎(chǔ)上，盡量減少網(wǎng)絡(luò)物理上的改動。經(jīng)過分析研究，確定啟用H3C防火墻的LAN0~LAN3內(nèi)網(wǎng)口，在防火墻下聯(lián)處增加一臺園區(qū)匯聚交換機，做好VLAN劃分，分別由不同的VLAN與防火墻的內(nèi)網(wǎng)口相連，各內(nèi)網(wǎng)口配置不同的IP地址段，保證每個樓層獨立分配一個單獨的IP地址段；園區(qū)匯聚交換機至各樓層的樓宇交換機的互聯(lián)端口啟用VLAN劃分（即采用VLAN技術(shù)將各樓層之間的終端機進行分離），保證各樓層之間的VLAN相對獨立，減少ARP病毒帶來的連鎖反應(yīng)，避免網(wǎng)絡(luò)風(fēng)暴的發(fā)生。

　　具體改造方案

　　根據(jù)現(xiàn)有網(wǎng)絡(luò)的布局和各樓層之間終端分布數(shù)量情況，網(wǎng)絡(luò)管理員制定出一個基于樓層進行IP地址劃分的具體方案，把IP地址段配置在H3C防火墻的內(nèi)網(wǎng)口上（一個端口可以配置多個IP地址段），同時在H3C防火墻上定義NAT轉(zhuǎn)換策略，保證內(nèi)網(wǎng)IP的及時轉(zhuǎn)換，保證各樓層之間的終端對應(yīng)的IP地址段相對獨立，不會出現(xiàn)相互影響的情況。改造后的網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖2所示。

　　經(jīng)改造后，有效地制止了ARP病毒的大規(guī)模爆發(fā)，偶爾有某些電腦感染了ARP病毒，也能很快找到中毒電腦，及時阻斷。本文主要以該公務(wù)大廈的優(yōu)化改造方案為例進行剖析，介紹如何采用VLAN技術(shù)實現(xiàn)各樓層之間的相對隔離，從而減少ARP廣播風(fēng)暴的發(fā)生，輕松應(yīng)對ARP病毒的攻擊，增強網(wǎng)絡(luò)的穩(wěn)定性，提高網(wǎng)絡(luò)運行效率。

本新聞共2頁,當前在第1頁 1 2

【收藏】【打印】【進入論壇】

相關(guān)文章：

·常見VLAN攻擊手段及如何避免

·簡述如何檢測VLAN交換機及其端口

·無線路由器ARP攻擊故障排除

·局域網(wǎng)打印機ARP病毒解決實例

·VLAN的Hybrid和Trunk端口有何區(qū)別

·交換機虛擬局域網(wǎng)VLAN的4種劃分

·虛擬網(wǎng)絡(luò)VLAN的配置管理與維護

·防止局域網(wǎng)內(nèi)ARP欺騙

·詳解VLAN+路由器典型配置實例教程

·VLAN+路由器典型配置實例

·巧配交換機防止同網(wǎng)段ARP攻擊

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费