PVLAN劃分防御ARP攻擊

山東省棗莊市教育局電教館 黃東

在《網管員世界》2007.11A刊的《VLAN劃分防御ARP攻擊》一文中，筆者記錄了通過VLAN劃分防御ARP攻擊的方法，現在想想那是一種細劃VLAN的辦法，但細劃的程度還不夠。筆者通過實踐又找到一種更為徹底的辦法，即用PVLAN劃分代替VLAN劃分。

這是一種簡單高效的辦法。PVLAN即私有VLAN（Private VLAN），PVLAN采用二層VLAN的結構，在一臺以太網交換機上存在Primary VLAN和Secondary VLAN。一個Primary VLAN和多個Secondary VLAN對應，Primary VLAN包含所對應的所有Secondary VLAN中包含的端口和上行端口，這樣對上層交換機來說，只需識別下層交換機中的Primary VLAN，而不必關心Primary VLAN中包含的Secondary VLAN，簡化了配置，節省了VLAN資源。

用戶可以采用PVLAN實現二層報文的隔離，為每個用戶分配一個Secondary VLAN。每個VLAN中只包含該用戶連接的端口和上行端口。如果希望實現用戶之間二層報文的互通，可以將用戶連接的端口劃入同一個Secondary VLAN中。

目前很多廠商生產的交換機支持PVLAN技術，像華為、思科等主流交換機生產廠商都支持此項技術。筆者單位使用的F-engine s2000交換機也支持此項功能，有24口此類交換機6臺，分布在7個不同的樓層中，全部采用表態IP。默認情況下S2000交換機所有端口都在VLAN1中，PVLAN的Web配置方式非常簡單，如圖1所示，在VLAN基礎上重新劃分一個新的VLAN（VLAN號可以任意取值），然后把除上聯口以外的所有端口都設置成隔離即可。

圖1 劃分VLAN

兩三個月過去了，這樣設置以后，局域網內再沒有出現ARP病毒引起的大規模掉線情況。PVLAN技術在解決通信安全、防止廣播風暴和浪費IP地址方面的優勢是顯而易見的，而且有助于網絡的優化。但是，由于每臺主機之間都不能直接通信，在成功隔離ARP請求的同時，也隔絕了局域網共享。