vlan聚合(supervlan)可以起到缩小ARP攻击影响范围的目的吗
比如一个C类网段1.1.1.0/24,如果其中一台服务器在做ARP攻击,影响的范围是这个网段内的所有其他服务器。但如果用普通的vlan划分方式,把它划分成
1.1.1.0/192
1.1.1.64/192
1.1.1.128/192
1.1.1.192/192
这4个网段,虽然可以减小ARP攻击的影响范围。但是每个网段要多占用网关,广播,网络号的地址,多浪费了9个地址。
我希望既能划分多个网段,减少影响范围,又想节省IP。我看supervlan好像能起到这个作用,但是又看配置上要开启ARP代理才能允许各subvlan之间互通。这样的话,岂不是一个subvlan的攻击,还是会影响到整个supervlan下面的所有subvlan,起不到减小攻击范围的目的了?
是这样吗,如果想要实现我说的减小范围同时不浪费IP的效果,什么方法是最适合的呢?
昨天拿H3C的交换机测试了一下,在同一supervlan下的两个subvlan里的两台电脑,不开arp代理无法通信。
开启arp代理后,一台用p2p终结者,另一台不会收到欺骗包。
如果这两台电脑同时接在同一个subvlan里,另一台电脑就会收到欺骗包被欺骗。
请问这是为什么呢,既然开启了ARP代理,为什么欺骗的包不会从一个subvlan传到另一个subvlan呢,是交换机自带了什么功能导致的,还是原理上就应该这样呢 可以缩小ARP攻击影响范围,详细的再去看看SUPER VLAN的原理。
页:
[1]