PVLAN划分防御ARP攻击

山东省枣庄市教育局电教馆 黄东

在《网管员世界》2007.11A刊的《VLAN划分防御ARP攻击》一文中，笔者记录了通过VLAN划分防御ARP攻击的方法，现在想想那是一种细划VLAN的办法，但细划的程度还不够。笔者通过实践又找到一种更为彻底的办法，即用PVLAN划分代替VLAN划分。

这是一种简单高效的办法。PVLAN即私有VLAN（Private VLAN），PVLAN采用二层VLAN的结构，在一台以太网交换机上存在Primary VLAN和Secondary VLAN。一个Primary VLAN和多个Secondary VLAN对应，Primary VLAN包含所对应的所有Secondary VLAN中包含的端口和上行端口，这样对上层交换机来说，只需识别下层交换机中的Primary VLAN，而不必关心Primary VLAN中包含的Secondary VLAN，简化了配置，节省了VLAN资源。

用户可以采用PVLAN实现二层报文的隔离，为每个用户分配一个Secondary VLAN。每个VLAN中只包含该用户连接的端口和上行端口。如果希望实现用户之间二层报文的互通，可以将用户连接的端口划入同一个Secondary VLAN中。

目前很多厂商生产的交换机支持PVLAN技术，像华为、思科等主流交换机生产厂商都支持此项技术。笔者单位使用的F-engine s2000交换机也支持此项功能，有24口此类交换机6台，分布在7个不同的楼层中，全部采用表态IP。默认情况下S2000交换机所有端口都在VLAN1中，PVLAN的Web配置方式非常简单，如图1所示，在VLAN基础上重新划分一个新的VLAN（VLAN号可以任意取值），然后把除上联口以外的所有端口都设置成隔离即可。

图1 划分VLAN

两三个月过去了，这样设置以后，局域网内再没有出现ARP病毒引起的大规模掉线情况。PVLAN技术在解决通信安全、防止广播风暴和浪费IP地址方面的优势是显而易见的，而且有助于网络的优化。但是，由于每台主机之间都不能直接通信，在成功隔离ARP请求的同时，也隔绝了局域网共享。