用VLAN优化网络 轻松应对ARP病毒

核心提示：近日,某公务大厦宽带网络出现频繁中断现象,开始是几台电脑,接着不断蔓延,最后整个局域网几乎完全瘫痪,严重影响员工办公.该如何应对这不断入侵的ARP病毒呢?近期ARP病毒肆虐,几乎骚扰了所有的局域网,所到之处,网络故障频繁,网速突然变慢,而且网络连接时断时续,轻则影响正常的工作秩序,重则可导致整个局域网络瘫痪,甚至造成无

近日,某公务大厦宽带网络出现频繁中断现象,开始是几台电脑,接着不断蔓延,最后整个局域网几乎完全瘫痪,严重影响员工办公.该如何应对这不断入侵的ARP病毒呢?

近期ARP病毒肆虐,几乎骚扰了所有的局域网,所到之处,网络故障频繁,网速突然变慢,而且网络连接时断时续,轻则影响正常的工作秩序,重则可导致整个局域网络瘫痪,甚至造成无法弥补的损失.因而,如何采取行之有效的措施防范ARP病毒,已成为近期网络安全工作的重中之重.

这里笔者以某公务大厦的局域网改造情况为例进行分析,介绍如何采用VLAN技术对局域网进行优化改造,从而有效防范ARP病毒的攻击.

网络现状

该公务大厦局域网络具体现状为:公务大厦共分9层,大厦宽带网络通过100M光纤上联到网通公司招商局模块为S6502交换机.在公务大厦一楼中心机房通过光电收发器将光信号转换成电信号后,通过百光网线上联至H3C的防火墙外网口.防火墙内网口经过一台楼宇交换机转接至各楼层交换机,每楼层各有一台清华比威的楼宇交换机作为相应楼层办公室的宽带接入使用.防火墙外网口配置网通公司分配的专线IP地址,内网口配置私网IP地址,防火墙作为NAT设备使用,配置两个外网口和四个内网口.实际网络环境中使用了一个外网口(WAN0)和一个内网口(LAN0),所有的楼宇交换机均在一个VLAN内,公务大厦各办公室的终端计算机配置防火墙内网口的私网IP地址进行互联网的访问.

目前接入的终端机数量接近300台,由于各楼层的楼宇交换机与防火墙的内网口均在同一VLAN内,内网IP只有一个网段,造成同一VLAN内的节点数量较多,存在大量的广播报文,一方面导致用户网速减慢,另一方面由于部分终端机感染ARP病毒,迅速导致整个网络大面积爆发ARP病毒,造成整个局域网的不稳定.改造前的网络拓扑结构如图1所示.