當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

用VLAN優(yōu)化網(wǎng)絡(luò) 輕松應(yīng)對(duì)ARP病毒

http://m.yibo1263.com　2008/8/19 8:17:02 　來(lái)源:ccident 　編輯:葉子

　　近日，某公務(wù)大廈寬帶網(wǎng)絡(luò)出現(xiàn)頻繁中斷現(xiàn)象，開(kāi)始是幾臺(tái)電腦，接著不斷蔓延，最后整個(gè)局域網(wǎng)幾乎完全癱瘓，嚴(yán)重影響員工辦公。該如何應(yīng)對(duì)這不斷入侵的ARP病毒呢？

　　近期ARP病毒肆虐，幾乎騷擾了所有的局域網(wǎng)，所到之處，網(wǎng)絡(luò)故障頻繁，網(wǎng)速突然變慢，而且網(wǎng)絡(luò)連接時(shí)斷時(shí)續(xù)，輕則影響正常的工作秩序，重則可導(dǎo)致整個(gè)局域網(wǎng)絡(luò)癱瘓，甚至造成無(wú)法彌補(bǔ)的損失。因而，如何采取行之有效的措施防范ARP病毒，已成為近期網(wǎng)絡(luò)安全工作的重中之重。

　　這里筆者以某公務(wù)大廈的局域網(wǎng)改造情況為例進(jìn)行分析，介紹如何采用VLAN技術(shù)對(duì)局域網(wǎng)進(jìn)行優(yōu)化改造，從而有效防范ARP病毒的攻擊。

　　網(wǎng)絡(luò)現(xiàn)狀

　　該公務(wù)大廈局域網(wǎng)絡(luò)具體現(xiàn)狀為：公務(wù)大廈共分9層，大廈寬帶網(wǎng)絡(luò)通過(guò)100M光纖上聯(lián)到網(wǎng)通公司招商局模塊為S6502交換機(jī)。在公務(wù)大廈一樓中心機(jī)房通過(guò)光電收發(fā)器將光信號(hào)轉(zhuǎn)換成電信號(hào)后，通過(guò)百光網(wǎng)線(xiàn)上聯(lián)至H3C的防火墻外網(wǎng)口。防火墻內(nèi)網(wǎng)口經(jīng)過(guò)一臺(tái)樓宇交換機(jī)轉(zhuǎn)接至各樓層交換機(jī)，每樓層各有一臺(tái)清華比威的樓宇交換機(jī)作為相應(yīng)樓層辦公室的寬帶接入使用。防火墻外網(wǎng)口配置網(wǎng)通公司分配的專(zhuān)線(xiàn)IP地址，內(nèi)網(wǎng)口配置私網(wǎng)IP地址，防火墻作為NAT設(shè)備使用，配置兩個(gè)外網(wǎng)口和四個(gè)內(nèi)網(wǎng)口。實(shí)際網(wǎng)絡(luò)環(huán)境中使用了一個(gè)外網(wǎng)口（WAN0）和一個(gè)內(nèi)網(wǎng)口（LAN0），所有的樓宇交換機(jī)均在一個(gè)VLAN內(nèi)，公務(wù)大廈各辦公室的終端計(jì)算機(jī)配置防火墻內(nèi)網(wǎng)口的私網(wǎng)IP地址進(jìn)行互聯(lián)網(wǎng)的訪(fǎng)問(wèn)。

　　目前接入的終端機(jī)數(shù)量接近300臺(tái)，由于各樓層的樓宇交換機(jī)與防火墻的內(nèi)網(wǎng)口均在同一VLAN內(nèi)，內(nèi)網(wǎng)IP只有一個(gè)網(wǎng)段，造成同一VLAN內(nèi)的節(jié)點(diǎn)數(shù)量較多，存在大量的廣播報(bào)文，一方面導(dǎo)致用戶(hù)網(wǎng)速減慢，另一方面由于部分終端機(jī)感染ARP病毒，迅速導(dǎo)致整個(gè)網(wǎng)絡(luò)大面積爆發(fā)ARP病毒，造成整個(gè)局域網(wǎng)的不穩(wěn)定。改造前的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

　　ＡＲＰ病毒作怪

　　近期，該公務(wù)大廈寬帶網(wǎng)絡(luò)連續(xù)出現(xiàn)網(wǎng)絡(luò)頻繁中斷，裝有360安全衛(wèi)士并開(kāi)啟局域網(wǎng)攻擊攔截功能的終端計(jì)算機(jī)會(huì)突然出現(xiàn)一個(gè) “攔截提示”對(duì)話(huà)框——“360已攔截一次ARP攻擊”，然后就掉線(xiàn)。重新啟動(dòng)操作系統(tǒng)可以暫時(shí)恢復(fù)，過(guò)一小會(huì)兒又出現(xiàn)“360已攔截一次ARP攻擊”，然后又掉線(xiàn)，需要不斷重新啟動(dòng)操作系統(tǒng)，而查殺令人討厭的電腦木馬和病毒均為0。沒(méi)有安裝360安全士或者沒(méi)有開(kāi)啟局域網(wǎng)攻擊攔截功能的終端計(jì)算機(jī)則會(huì)突然網(wǎng)絡(luò)中斷。開(kāi)始是幾臺(tái)電腦出現(xiàn)上述情況，后來(lái)出現(xiàn)這種癥狀的電腦越來(lái)越多，直至整個(gè)局域網(wǎng)幾乎完全癱瘓。盡管網(wǎng)絡(luò)管理員根據(jù)預(yù)先統(tǒng)計(jì)的終端IP和與其綁定的MAC地址能查到發(fā)病的終端計(jì)算機(jī)，并及時(shí)對(duì)發(fā)病終端進(jìn)行處理，但是，由于終端太多，而且都在同一個(gè)VLAN內(nèi)，一旦有一臺(tái)終端感染ARP病毒，就會(huì)迅速波及到整個(gè)網(wǎng)絡(luò)，給徹底清除ARP帶來(lái)非常大的困難。

　　升級(jí)改造網(wǎng)絡(luò)

　　為徹底解決這一問(wèn)題，網(wǎng)絡(luò)管理員決定對(duì)網(wǎng)絡(luò)進(jìn)行升級(jí)改造。由于該公務(wù)大廈樓層多且終端多，網(wǎng)絡(luò)布線(xiàn)復(fù)雜，網(wǎng)管認(rèn)為應(yīng)該在保證安全性、保密性的基礎(chǔ)上，盡量減少網(wǎng)絡(luò)物理上的改動(dòng)。經(jīng)過(guò)分析研究，確定啟用H3C防火墻的LAN0~LAN3內(nèi)網(wǎng)口，在防火墻下聯(lián)處增加一臺(tái)園區(qū)匯聚交換機(jī)，做好VLAN劃分，分別由不同的VLAN與防火墻的內(nèi)網(wǎng)口相連，各內(nèi)網(wǎng)口配置不同的IP地址段，保證每個(gè)樓層獨(dú)立分配一個(gè)單獨(dú)的IP地址段；園區(qū)匯聚交換機(jī)至各樓層的樓宇交換機(jī)的互聯(lián)端口啟用VLAN劃分（即采用VLAN技術(shù)將各樓層之間的終端機(jī)進(jìn)行分離），保證各樓層之間的VLAN相對(duì)獨(dú)立，減少ARP病毒帶來(lái)的連鎖反應(yīng)，避免網(wǎng)絡(luò)風(fēng)暴的發(fā)生。

　　具體改造方案

　　根據(jù)現(xiàn)有網(wǎng)絡(luò)的布局和各樓層之間終端分布數(shù)量情況，網(wǎng)絡(luò)管理員制定出一個(gè)基于樓層進(jìn)行IP地址劃分的具體方案，把IP地址段配置在H3C防火墻的內(nèi)網(wǎng)口上（一個(gè)端口可以配置多個(gè)IP地址段），同時(shí)在H3C防火墻上定義NAT轉(zhuǎn)換策略，保證內(nèi)網(wǎng)IP的及時(shí)轉(zhuǎn)換，保證各樓層之間的終端對(duì)應(yīng)的IP地址段相對(duì)獨(dú)立，不會(huì)出現(xiàn)相互影響的情況。改造后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2所示。

　　經(jīng)改造后，有效地制止了ARP病毒的大規(guī)模爆發(fā)，偶爾有某些電腦感染了ARP病毒，也能很快找到中毒電腦，及時(shí)阻斷。本文主要以該公務(wù)大廈的優(yōu)化改造方案為例進(jìn)行剖析，介紹如何采用VLAN技術(shù)實(shí)現(xiàn)各樓層之間的相對(duì)隔離，從而減少ARP廣播風(fēng)暴的發(fā)生，輕松應(yīng)對(duì)ARP病毒的攻擊，增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性，提高網(wǎng)絡(luò)運(yùn)行效率。

本新聞共2頁(yè),當(dāng)前在第1頁(yè) 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·常見(jiàn)VLAN攻擊手段及如何避免

·簡(jiǎn)述如何檢測(cè)VLAN交換機(jī)及其端口

·無(wú)線(xiàn)路由器ARP攻擊故障排除

·局域網(wǎng)打印機(jī)ARP病毒解決實(shí)例

·VLAN的Hybrid和Trunk端口有何區(qū)別

·交換機(jī)虛擬局域網(wǎng)VLAN的4種劃分

·虛擬網(wǎng)絡(luò)VLAN的配置管理與維護(hù)

·防止局域網(wǎng)內(nèi)ARP欺騙

·詳解VLAN+路由器典型配置實(shí)例教程

·VLAN+路由器典型配置實(shí)例

·巧配交換機(jī)防止同網(wǎng)段ARP攻擊

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费