H3C ARP***防護解決方案

「全面防護，模塊定製」——H3C ARP***防護解決方案

 

1  前言
當計算機鏈接正常，卻沒法打開網頁；或者計算機網絡出現頻繁斷線，同時網速變得很是慢，這些均可能是網絡中存在ARP欺騙***所表現出來的網絡現象。

 

ARP欺騙***不只會形成聯網不穩定，引起用戶沒法上網，或者企業斷網致使重大生產事故，並且利用ARP欺騙***可進一步實施中間人***，以此非法獲取到遊戲、網銀、文件服務等系統的賬號和口令，對被***者形成利益上的重大損失。所以ARP欺騙***是一種很是惡劣的網絡***行爲。

 

ARP***已經對各行各業網絡形成了巨大威脅，但一直沒有獲得有效的解決。連咱們熟知的殺毒軟件、防火牆都擋不住ARP 欺騙***。主要因爲ARP欺騙***的***程序，一般會假裝成經常使用軟件的一部分被下載並被激活，或者做爲網頁的一部分自動傳送到瀏覽者的電腦上並被激活，或者經過U盤、移動硬盤等方式進入網絡。因爲***程序的形態特徵都在不斷變化和升級，殺毒軟件經常會失去做用。

 

2  方案概述
分析ARP***的特色，結合市場實際需求，H3C公司推出了全面有效的ARP***防護解決方案。

 

「全面防護，模塊定製」 H3C ARP***防護解決方案

H3C ARP***防護解決方案經過對客戶端、接入交換機和網關三個控制點實施自上而下的「全面防護」，而且可以根據不一樣的網絡環境和客戶需求進行「模塊定製」，爲用戶提供多樣、靈活的ARP***防護解決方案。

H3C提供兩類ARP***防護解決方案：監控方式，認證方式。監控方式主要適用於動態接入用戶居多的網絡環境，認證方式主要適用於認證方式接入的網絡環境；實際部署時，建議分析網絡的實際場景，選擇合適的***防護解決方案。另外，結合H3C獨有的iMC智能管理中心，能夠很是方便、直觀的配置網關綁定信息，查看網絡用戶和設備的安全情況，不只有效的保障了網絡的總體安全，更能快速發現網絡中不安全的主機和ARP***源，並迅速作出反映。

 

3  功能特色

• 更靈活。提供監控模式和認證模式兩大類方案，認證方案支持IEEE 802.1X和Portal兩種認證模式，組網方式多樣、靈活。
• 更完全。多種方式組合可以全面防護新建網絡ARP***，切實保障網絡穩定和安全。
• 保護投資。對接入交換機的依賴較小，能夠較好的支持現有網絡的利舊，兼容大部分現有網絡場景，有效保護投資。
• 適用性強。解決方案適應動態和靜態兩種地址分配方式，經過終端、接入交換機、網關多種模塊的組合，適用於各類複雜的組網環境。

H3C ARP***防護解決方案的推出，爲教育、金融、政府、企業等客戶網絡完全解決了ARP欺騙***的問題，其「全面防護 模塊定製」的理念，可以知足新舊網絡的不一樣須要，讓ARP欺騙***今後再也不困擾！

 

4  典型應用
1、監控方式
監控方式也即DHCP Snooping方式，適合大部分主機爲動態分配IP地址的網絡場景。實現原理：接入層交換機監控用戶動態申請IP地址的全過程，記錄用戶的IP、MAC和端口信息，而且在接入交換機上作多元素綁定，從而在根本上阻斷非法ARP報文的傳播。

 

另外，ARP泛洪***會產生大量的ARP報文，消耗網絡帶寬資源和交換機CPU資源，形成網絡速度急劇下降。所以能夠在接入交換機部署ARP報文限速，對每一個端口單位時間內接收到的ARP報文數量進行限制，避免ARP泛洪***，保護網絡資源。

2、認證方式

認證方式適合網絡中採用認證登錄的場景，經過H3C CAMS服務器、H3C iNode智能客戶端與接入交換機和網關的聯動，全方面的防護ARP***。

 

實現原理：認證方式是客戶端經過認證協議登錄網絡，認證服務器識別客戶端，而且將事先配置好的網關IP/MAC綁定信息下發給客戶端，實現了ARP報文在客戶端、接入交換機和網關的綁定，使得虛假的ARP報文在網絡裏無立錐之地，從根本上防止ARP病毒氾濫。

 

 

H3C認證方式包括IEEE802.1X和Portal兩種方案，充分考慮了新建和利舊網絡的不一樣網絡場景，方案全面有效。

 

1）IEEE802.1X方案

IEEE802.1X方案經過客戶端發起認證，H3C CAMS把事先配置好的網關的IP和MAC綁定信息下發給客戶端作綁定，防止客戶端遭遇網關仿冒類型的***；

 

客戶端發起認證的報文須要通過接入交換機，接入交換機記錄客戶端的IP和MAC信息而且作綁定，能夠防止網關仿冒、網關欺騙、欺騙終端用戶和ARP泛洪***；

 

客戶端、接入交換機和網關綁定能夠選擇實現，方案可裁剪。

 

                         圖示 PC生成網關綁定表項

2）Portal方案是經過客戶端發起portal認證，CAMS把事先配置好的網關IP和MAC綁定信息下發給客戶端作綁定，網關記錄用戶的IP和MAC作綁定，防止網關欺騙。