1.网络中有可能存在无故arp,如果3560的IOS是12.2(55)或以上版本, 看3560的log记录是能发现网络中有没有arp欺骗,或者网关地址有没有被占用的。(如果版本不高,那就通过抓包去看 )
2.二层安全当然还包括dhcp攻击啦,当然无故arp和dhcp攻击都可以用3560自带的DAI防护功能来搞定,需要先启用dhcp snooping功能建立一个5项的表项,然后使用arp inspection功能搞定。
2.5. dhcp攻击也有无意的,比如说客户自己有台傻瓜路由器,把连到3560的屋里那根线接到傻瓜路由器的LAN口上,造成广播域里的 dhcp数据包混乱。 需要人工发现和解决,dhcp snooping也可以防御。
如果3560不是直连客户,下面链接了其他的二层交换机,如果二层交换机是思科2960之类的还好办,也有arp inspection功能,如果是傻瓜交换机,那只能先排除法换交换机试试看,换交换机还不行,那就没法了。
为什么不使用DHCP服务器设置DHCP池呢,干嘛要使用交换机配置DHCP池呢?
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024