交换机ARP和端口配置.pptVIP

;锐捷防ARP欺骗解决方案

;学习目标;课程内容;ARP协议原理;ARP过程;课程内容;正常情况下的ARP表;ARPRequest报文更新ARP表的条件

ARP报文中TargetIP为自己

用ARP报文中的SenderMAC与SenderIP更新自己的ARP表;ARP表变化-ARPReply;ARP表变化-GratuitousARP;理解invalidARP表项;IP地址发生冲突的条件

收到GratuitousARP报文，且Sender/TargetIP与当前IP一致，但SenderMAC与当前MAC不同

当针对主机或网络设备发送上述报文时，即为IP冲突攻击

;ARP欺骗攻击分类-主机型;ARP欺骗攻击分类-网关型;ARP欺骗攻击目的;ARP欺骗攻击缘何泛滥;判断ARP欺骗攻击-主机;判断ARP欺骗攻击-网关设备;课程内容;1、常见ARP欺骗“应付”手段-双向绑定;2、常见ARP欺骗“应付”手段-ARP防火墙;3、常见ARP欺骗“应付”手段;课程内容;锐捷网络完美解决ARP欺骗;两个概念;防ARP欺骗原理;平安地址;平安地址的处理;ARP-check

原理：

提取ACE中IP+MAC对的信息

在原有ACE〔过滤IP+MAC〕的根底上形成新的ACE〔过滤ARP〕

应用后端口策略

permitmac1ip1anyany

permitarp源MAC1源IP1anyany

denyanyanyanyany

本卷须知：ARP-check功能开启后，如果ACE中不存在平安地址，那么所有的ARP报文将被丢弃;ARP报文校验二〔DAI〕;1.1、port-security+ARP-check方案概述;网络拓扑

主要配置〔10.x平台〕;2.1、DHCPSnooping+address-bind+ARP-check方案实施;网络拓扑

主要配置〔10.x平台〕;2.3、DHCPSnooping+address-bind+ARP-check方案级联优化;3.1、DHCPSnooping+IPSourceguard+ARP-check方案实施;网络拓扑

主要配置〔10.x平台〕;3.3、DHCPSnooping+IPSourceguard+ARP-check方案级联优化;4.1、DHCPSnooping+DAI方案概述;网络拓扑

主要配置〔10.x平台〕;4.3、DHCPSnooping+DAI方案级联优化;5.1、SAM+Supplicant授权方案概述;网络拓扑

主要配置〔10.x平台〕;附.1、ARP欺骗免疫〔GSN〕概述;网络拓扑

网关交换机主要配置;附.2、ARP欺骗免疫〔GSN〕方案实施〔续〕;ARP-check的模式;S21交换机〔非RGOS平台〕配置本卷须知;各种防ARP欺骗方案比较;端口镜像原理与配置;学习目标;学习内容;学习内容;什么是端口镜像？;端口镜像定义;学习内容;端口镜像的分类;基于端口的镜像;基于流的镜像;学习内容;高端路由器目前只有T600/T1200的??及其后的版本支持，低端路由器ZSR也支持镜像；

最多可支持8组端口镜像会话，每组可支持8×8个镜像源端口；

目前高端路由器仅支持以太接口的镜像，镜像目的端口需为以太实接口，低端路由器ZSR支持从PPP接口镜像到以太接口；

镜像目的端口只能作为镜像流量发送端口使用，不能再配置其他任何业务；

tx方向流量的镜像仅支持镜像源与目的端口同板的情况；

控制平面的报文镜像仅支持NPCIX线卡rx方向的情况；

VPLS，VPWS流量不支持镜像；

目前仅支持本地镜像，不支持远程镜像；

在转发过程中需要被丢弃的报文在镜像时即使配置了ACL也不再受ACL规那么控制；

同时镜像rx和tx方向流量时，ACL只能应用在其中一个方向；

在下行发送时noarp后上送的包不支持镜像；

线卡性能有限，当线卡承载大流量数据转发时，需谨慎使用端口镜像功能。;学习内容;交换机基于端口镜像的根本配置;学习内容;交换机基于端口镜像的配置案例(1);交换机基于端口镜像的配置案例(2);交换机基于端口镜像的配置案例(3);交换机基于端口镜像的配置案例;路由器基于端口镜像的配置案例(1);路由器基于端口镜像的配置案例(2);路由器基于端口镜像的配置案例(3);路由器基于端口镜像的配置案例(4);低端路由器基于端口镜像的配置案例(5);低端路由器基于端口镜像的配置案例(6);学习内容;交换机基于流镜像的根本配置;路由器基于流镜像的根本配置;学习内容;交换机基于流镜像的配置案例(1);交换机基于流镜像的配置案例(2);交换机基于流镜像的配置案例(3);交换机基于流镜像的配置案例(4);路由器