我有许多服务器运行在戴尔交换机上,客户使用这些交换机来执行他们的项目。有时,一些客户会将其他客户端 IP 地址放在他们的服务器上(可能是无意的),尽管我可以使用 ACL 规则阻止他们使用这些 IP 地址,但我无法阻止他们使用被盗 IP 地址响应 ARP 消息,这会扰乱原始 IP 所有者的服务器可访问性。所有交换机端口都在同一个 VLAN 上,出于路由和 IP 限制的原因,我无法将端口拆分到不同的 VLAN 中。
我想知道有哪些可能的方法可以防止未经授权的端口/mac 使用其他人的 IP 回复“ARP 谁有”消息。
编辑:
我主要使用 Dell S4810 交换机。当然,我尝试查找手册以了解我的问题的解决方案,但是,我能找到的最好的方法是“动态 arp 检查”,它使用 DHCP 数据库来验证 IP 地址到 MAC 地址。我的客户经常在虚拟机上使用大量外部 IP 地址,因此将它们直接锁定到单个 MAC 地址有点复杂。更糟糕的是,他们能够将 IP 地址从一台服务器移动到另一个交换机端口上的另一台服务器。
我已经实施了大量的 SNMP 警报和陷阱日志记录。我现在倾向于使用复杂的脚本解决方案,该解决方案将检查收集的“IP 到 MAC”地址日志,并将其与客户端拥有的服务器/VM MAC 进行比较以查找任何异常,并根据某种计算确定是否有人在窃取他人的 IP,然后直接关闭恶意活动源的端口。
这篇文章的总体思路是收集其他解决方案的想法。感谢大家的意见。
答案1
许多交换机都具有 ARP 保护/ARP 检查/IP 源保护机制,可以启用这些机制来监管通过交换机的所有 ARP 流量并强制执行 MAC 到 IP 绑定。这些可以从 DHCP(侦听)动态学习适当的绑定,或者您可以静态设置它们,这可能正是您在这里所需要的。
但是,我不确定戴尔产品上是否有此功能。我找到了 PowerConnect 5448 手册(现在看来已经很旧了),但找不到关于它的提及...
答案2
您的戴尔交换机是否允许您为所有服务器添加静态 ARP 条目?您没有发布型号或操作系统版本,所以我无法为您查找。我知道在思科交换机上,您还可以限制每个端口的 ARP 条目数量,因此如果您没有虚拟化,您可以将每个客户端端口设置为“1”,这样可能不会发生更改。
当然,这将是一个难以管理的麻烦。
这类问题基本上就是 VLAN 的目的所在,因此看看您是否可以解决实施 VLAN 的障碍。