|
|
|
|
|
|
|
|
ip address 1.1.1.254 255.255.255.0
ip access-group 100 in
!
access-list 100 permit ip host 1.1.1.1 host 2.1.1.1
突破方法:非法用户将IP地址自行改为1.1.1.1即可访问Server。 非法用户抢占地址1.1.1.1将会引起IP地址冲突问题。如果用户将IP地址设成网关的IP,还会影响到整个VLAN的通讯。通过修改Windows 设置,可以防止用户修改“网络”属性,但这一方法也很容易被突破。
测试2.在测试1的基础上加上静态ARP绑定可以防止IP地址盗用。
实现方法:在测试1配置的基础上设置arp 1.1.1.1 0001.0001.1111 ARPA
注意以下的命令是错误的,因为ARP的端口参数是三层(路由)端口而非二层(交换)端口:
arp 1.1.1.1 0001.0001.1111 ARPA GigabitEthernet0/11
设置完成之后,如果非法用户把地址改为1.1.1.1,它发送到路由器的包正常,但是从目标服务器2.1.1.1返回的数据包在路由器上转发的时候,目标MAC地址将总是设为0001.0001.1111,非法用户不能接收。页码:[1] [2] [3] [4] [5] [6] 第3页、共6页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
