当现实网络有多条WAN出口时NBR2000还提供了自动流量均衡的功能,我们可以针对报文目的地址或源地址进行负载均衡,从而让网络资源更加合理的分配,也保证了客户端网络访问速度。(如图13)
(10)设备联动功能:
NBR2000还提供了设备联动功能,我们可以针对其下连交换机,内网地址等信息设置联动功能。配置交换机联动功能后我们这台路由器将可以统一管理被联动设置的交换机,当然交换机必须也是锐捷公司的。通过联动功能可以让设备更加智能,更加自动化的优化网络应对各种网络攻击。(如图14)
上一页 [1] [2] [3] [4] [5] [6] [7] [8] 下一页
六,功能性测试一:防内网ARP欺骗
内网ARP欺骗病毒的泛滥如何解决?NBR2000替我们想到了解决方法,在其WEB管理界面中的ARP安全中有四项参数提供给用户来防范ARP欺骗。首先用户可以通过“免费ARP设置”来设置ARP发送频率以及个数,我们可以设定为NBR2000路由器自身每秒钟发送一个ARP广播包(最高可支持每秒发送100个),这样设置后就可以解决危害性小的ARP欺骗病毒攻击了,ARP欺骗数据包将被此处设置的正确数据包而替代,客户计算机也不会被虚假ARP包欺骗了。(如图15)
不过笔者在实际使用中发现“免费ARP设置”对于中高级ARP欺骗病毒来说不太有效,因为这类病毒发送ARP虚假包的频率远远高于每秒一个,这时我们能够做的就是提前防患了,通过“可信任ARP设置”将正确信息进行添加,“可信任ARP”能够验证ARP信息的真实性,即使网络中已经ARP欺骗病毒,通过可信任ARP功能一样可以鉴别并接绑定正确的IP/MAC对应关系,不需要进行手工绑定,还可以自动更新绑定。 当然调整正确的ARP数据包发送频率也是可以的,NBR2000支持最快频率为每秒100个ARP广播包。不过如果网络中已经出现了ARP欺骗病毒,那么我们就需要通过“ARP表”功能来手工扫描当前网络的ARP信息了,另外手工设置让MAC地址信息与IP地址的绑定也可以有效解决欺骗问题。(如图16)
另外NBR2000还提供了“ARP欺骗嫌疑主机的定位功能”,通过该功能可以在一定程度上扫描到问题主机的存在以及其地址信息。笔者在实际使用过程中发现此功能不错,能够快速找到问题严重的主机,但是如果网络内感染ARP欺骗病毒机器过多,则需要我们进行多次反复扫描检测,将感染主机分批分次定位。(如图17)
总之我们通过NBR2000提供的ARP安全选项下的四大功能,可以有效的解决和处理ARP欺骗病毒在网络中的泛滥,在第一时间发现病毒对其进行隔离。笔者实际测试也验证了此结论,只要合理的设置这四大参数几乎可以百分之百的杜绝ARP病毒在内网的传播。
上一页 &