H3C ARP***防护解决方案

“全面防护，模块定制”——H3C ARP***防护解决方案

 

1  前言
当计算机链接正常，却没法打开网页；或者计算机网络出现频繁断线，同时网速变得很是慢，这些均可能是网络中存在ARP欺骗***所表现出来的网络现象。

 

ARP欺骗***不只会形成联网不稳定，引起用户没法上网，或者企业断网致使重大生产事故，并且利用ARP欺骗***可进一步实施中间人***，以此非法获取到游戏、网银、文件服务等系统的账号和口令，对被***者形成利益上的重大损失。所以ARP欺骗***是一种很是恶劣的网络***行为。

 

ARP***已经对各行各业网络形成了巨大威胁，但一直没有获得有效的解决。连咱们熟知的杀毒软件、防火墙都挡不住ARP 欺骗***。主要因为ARP欺骗***的***程序，一般会假装成经常使用软件的一部分被下载并被激活，或者做为网页的一部分自动传送到浏览者的电脑上并被激活，或者经过U盘、移动硬盘等方式进入网络。因为***程序的形态特征都在不断变化和升级，杀毒软件经常会失去做用。

 

2  方案概述
分析ARP***的特色，结合市场实际需求，H3C公司推出了全面有效的ARP***防护解决方案。

 

“全面防护，模块定制” H3C ARP***防护解决方案

H3C ARP***防护解决方案经过对客户端、接入交换机和网关三个控制点实施自上而下的“全面防护”，而且可以根据不一样的网络环境和客户需求进行“模块定制”，为用户提供多样、灵活的ARP***防护解决方案。

H3C提供两类ARP***防护解决方案：监控方式，认证方式。监控方式主要适用于动态接入用户居多的网络环境，认证方式主要适用于认证方式接入的网络环境；实际部署时，建议分析网络的实际场景，选择合适的***防护解决方案。另外，结合H3C独有的iMC智能管理中心，能够很是方便、直观的配置网关绑定信息，查看网络用户和设备的安全情况，不只有效的保障了网络的总体安全，更能快速发现网络中不安全的主机和ARP***源，并迅速作出反映。

 

3  功能特色

• 更灵活。提供监控模式和认证模式两大类方案，认证方案支持IEEE 802.1X和Portal两种认证模式，组网方式多样、灵活。
• 更完全。多种方式组合可以全面防护新建网络ARP***，切实保障网络稳定和安全。
• 保护投资。对接入交换机的依赖较小，能够较好的支持现有网络的利旧，兼容大部分现有网络场景，有效保护投资。
• 适用性强。解决方案适应动态和静态两种地址分配方式，经过终端、接入交换机、网关多种模块的组合，适用于各类复杂的组网环境。

H3C ARP***防护解决方案的推出，为教育、金融、政府、企业等客户网络完全解决了ARP欺骗***的问题，其“全面防护 模块定制”的理念，可以知足新旧网络的不一样须要，让ARP欺骗***今后再也不困扰！

 

4  典型应用
1、监控方式
监控方式也即DHCP Snooping方式，适合大部分主机为动态分配IP地址的网络场景。实现原理：接入层交换机监控用户动态申请IP地址的全过程，记录用户的IP、MAC和端口信息，而且在接入交换机上作多元素绑定，从而在根本上阻断非法ARP报文的传播。

 

另外，ARP泛洪***会产生大量的ARP报文，消耗网络带宽资源和交换机CPU资源，形成网络速度急剧下降。所以能够在接入交换机部署ARP报文限速，对每一个端口单位时间内接收到的ARP报文数量进行限制，避免ARP泛洪***，保护网络资源。

2、认证方式

认证方式适合网络中采用认证登录的场景，经过H3C CAMS服务器、H3C iNode智能客户端与接入交换机和网关的联动，全方面的防护ARP***。

 

实现原理：认证方式是客户端经过认证协议登录网络，认证服务器识别客户端，而且将事先配置好的网关IP/MAC绑定信息下发给客户端，实现了ARP报文在客户端、接入交换机和网关的绑定，使得虚假的ARP报文在网络里无立锥之地，从根本上防止ARP病毒泛滥。

 

 

H3C认证方式包括IEEE802.1X和Portal两种方案，充分考虑了新建和利旧网络的不一样网络场景，方案全面有效。

 

1）IEEE802.1X方案

IEEE802.1X方案经过客户端发起认证，H3C CAMS把事先配置好的网关的IP和MAC绑定信息下发给客户端作绑定，防止客户端遭遇网关仿冒类型的***；

 

客户端发起认证的报文须要通过接入交换机，接入交换机记录客户端的IP和MAC信息而且作绑定，能够防止网关仿冒、网关欺骗、欺骗终端用户和ARP泛洪***；

 

客户端、接入交换机和网关绑定能够选择实现，方案可裁剪。

 

                         图示 PC生成网关绑定表项

2）Portal方案是经过客户端发起portal认证，CAMS把事先配置好的网关IP和MAC绑定信息下发给客户端作绑定，网关记录用户的IP和MAC作绑定，防止网关欺骗。