我来问几个有趣的问题,欢迎大家赐教.

wysilly

1.使用linux作为网关,实现类cisco中的DAI(dymatic arp inspection)+ip dhcp snooping技术.有效实现对arp攻击的防范.

2.使用linux,实现类stp(spantree),实现防止网络中出现环.

3.使用linux路由或网关,如何实现此路由或网关的热备或之间的负载均衡.

希望达人不吝赐教.

[ 本帖最后由 wysilly 于 2007-5-24 22:09 编辑 ]

platinum

1、没有接触过，不知道其原理是什么，不好发表言论
2、可以，man brctl
3、Linux 下可以实现 VRRP 协议，具体没研究过，也可以使用 Heartbeat 软件（开源），当然也可以自己写程序实现

wysilly

回答不完整.下面是更好理解上面所说的内容.
1.类似于动态mac+ip绑定,在一定时间内,客户机dhcp得到的ip的mac的关系是固定的.客户机在线时,对客户机的ip+mac组合是受保护的,所以可以有效对抗arp的攻击.
2.可以这样想,三台机子彼此互联.环成一个环状网络结构,每个都是双网卡做bridge,通过自协商,决定哪条线路处于blocking状态或unblocking状态.
3.难点在于使用nat的路由或网关,如何能conntrack同步.

[ 本帖最后由 wysilly 于 2007-5-25 12:06 编辑 ]

ssffzz1

原帖由 wysilly 于 2007-5-24 21:19 发表于 1楼  
1.使用linux作为网关,实现类cisco中的DAI(dymatic arp inspection)+ip dhcp snooping技术.有效实现对arp攻击的防范.
这个估计需要该DHCP源代码。

2.使用linux,实现类stp(spantree),实现防止网络中出现环.
这个好像已经有实现。

3.使用linux路由或网关,如何 ...

这个也有实现的。在LINUX下一个叫VRRP的东西。当然你用传统的冗余热备也可以。



但是不幸的是，我都没有实验过。

platinum

2.可以这样想,三台机子彼此互联.环成一个环状网络结构,每个都是双网卡做bridge,通过自协商,决定哪条线路处于blocking状态或unblocking状态.

这不就是 brctl 里面的 stp 功能吗？你还需要什么更特殊的东西吗？

wysilly

原帖由 platinum 于 2007-5-25 09:54 发表于 5楼  
2.可以这样想,三台机子彼此互联.环成一个环状网络结构,每个都是双网卡做bridge,通过自协商,决定哪条线路处于blocking状态或unblocking状态.

这不就是 brctl 里面的 stp 功能吗？你还需要什么更特殊的东西吗？

此为2的最佳答案了.

直接指出了linux在bridge中支持spantree功能. 本机还可以成为spantree root.呵呵.

期待1与3的方案了.

[ 本帖最后由 wysilly 于 2007-5-25 12:04 编辑 ]

kofyou

1.类似于动态mac+ip绑定,在一定时间内,客户机dhcp得到的ip的mac的关系是固定的.客户机在线时,对客户机的ip+mac组合是受保护的,所以可以有效对抗arp的攻击

这个固然要动态的ＩＰ绑定，估计实现起来很难吧
静态的还差不多