论坛徽章:: 1

电梯直达

1楼 [收藏(0)] [报告]

发表于 2014-05-16 18:01 |只看该作者 |倒序浏览

比如一个C类网段1.1.1.0/24，如果其中一台服务器在做ARP攻击，影响的范围是这个网段内的所有其他服务器。
但如果用普通的vlan划分方式，把它划分成
1.1.1.0/192
1.1.1.64/192
1.1.1.128/192
1.1.1.192/192
这4个网段，虽然可以减小ARP攻击的影响范围。但是每个网段要多占用网关，广播，网络号的地址，多浪费了9个地址。

我希望既能划分多个网段，减少影响范围，又想节省IP。我看supervlan好像能起到这个作用，但是又看配置上要开启ARP代理才能允许各subvlan之间互通。这样的话，岂不是一个subvlan的攻击，还是会影响到整个supervlan下面的所有subvlan，起不到减小攻击范围的目的了？

是这样吗，如果想要实现我说的减小范围同时不浪费IP的效果，什么方法是最适合的呢？

文库|博客

number321

家境小康

论坛徽章:: 1

2楼 [报告]

发表于 2014-05-27 08:37 |只看该作者

昨天拿H3C的交换机测试了一下，在同一supervlan下的两个subvlan里的两台电脑，不开arp代理无法通信。
开启arp代理后，一台用p2p终结者，另一台不会收到欺骗包。
如果这两台电脑同时接在同一个subvlan里，另一台电脑就会收到欺骗包被欺骗。

请问这是为什么呢，既然开启了ARP代理，为什么欺骗的包不会从一个subvlan传到另一个subvlan呢，是交换机自带了什么功能导致的，还是原理上就应该这样呢