最近客戶環境不斷出現無法上網的狀況,查到最後原因就是環境有ARP Spoofing
通常ARP Spoofing 有兩種狀況
1.欺騙Gateway Client 的Mac-address
2.欺騙Client Gateway的Mac-address
比較麻煩的解決方案
1. 在Gateway上寫入Static ARP entry
2. 在Client上寫入Gateway ARP entry
但是這樣有幾個問題會發生
1. 區域網路的環境全部都是DHCP,若Client的設備會不定期變更,就無法寫入Static ARP entry
2. 不斷要更新每個Client的Mac-address,造成管理上的不便
為了解決這兩個問題,找了一下資料若從Switch下手,目前比較有效的方式如下:
1. DHCP snooping
只允許Switch 特定Port 可以接收DHCP封包(offer,ack.等),其餘Port不接受DHCP封包
並且會產生DHCP snopping database (也就是所謂的IP MAC Port紀錄)
2. IP Source Guard
透過dhcp snooping database 來取得每一個Port的IP,這樣可以解決Client自行設定IP問題所造成IP衝突
3.Dynamic ARP Inspection
透過dhcp snooping database 來取得每一個Port的Mac-address,可查看每一個Port Source Mac-address 是否符合dhcp snooping database
使用Zyxel Switch的設定方式如下:
1.網路架構
2.設定DHCP snooping
3.設定IP Source Guard
4.設定Dynamic ARP Inspection