阳光变冷 删我的贴作出解释...

我在服务器技术发表的“IDC 机房ARP 防御新思路”无故被删要求作出解释

原帖如下

去年我在IDC机房的时候ARP攻击严重，什么软件防火墙都作用不大，而且还得花钱，经过长时间的思考通过在交换机上设置彻底解决这一问题，网络结构思科3560（网关）--华为2403（机柜），思路就是交换机上的端口隔离

思科操作如下：

进入需要隔离的端口：（这点省了）

switchport protected
ip arp inspection trust
ip arp inspection limit rate 15（简单吧）
这样作了设置的端口之间就不能相互访问了。所以小心不要设置进线端口了哦

华为操作;

1、看下端口的VLAN 有些地方是按VLAN分的。

2、进入进线端口：port-isolate uplink-port vlan （ID）

3、进入 VLAN （ID ）：port-isolate enable

这样一切搞定 ，被隔离的主机间将不能进行任何通讯当然ARP也不行。

这个设置我在去年就搞出来了。之所以现在才说应该是人的私心吧

到这步有心的人会问，如果服务器之间需要互访怎么办，其实很简单的，有网络基础的人都能想到，想不到的加我吧：QQ：6059845，欢迎同行交流

以上的是用文档做得下载

另外回复用了一个新方法@echo off  　　netsh interface ip set address name="本地连接" gateway=192.168.1.200 gwmetric=0  　　route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.1 metric 1  　　exit说明：192.168.1.200 是内网任意一个不用的IP192.168.1.1  是内网网关IP地址将上述内容改好后，保存成arp.bat并加载到启动项中，可以有效欺骗ARP病毒顺便说下命令行修改IP的方法C:\>netsh （进入设置模式）

netsh>interface

interface>ip

interface ip>set address "本地连接" static 10.1.1.111 255.255.255.0 10.1.1.254

interface ip>exit

Re:阳光变冷 删我的贴作出解释...

你有AD帖出现，我有可能针对的是其他AD帖.

因为屏蔽的AD者太多，我不能一一记忆.